wireshark简单的过滤规则
Wireshark是一种流行的网络协议分析工具,该工具可用于监视应用程序和网络交互,并生成网络数据包捕获,以便进行进一步的分析和诊断。Wireshark提供了过滤功能,用于筛选特定类型的流量,以便更轻松地分析和理解数据包。这篇文章将介绍Wireshark的基本过滤规则及其用途。
过滤规则介绍
在Wireshark中,过滤规则是一个用于匹配网络数据包的表达式。基本上,这些表达式由一个或多个过滤选项组成,其中每个过滤选项包含一个字段名称和一个值。Wireshark支持多种过滤选项,包括源地址,目标地址,协议等等。Wireshark可以使用过滤规则到哪些数据包符合你提供的特定条件,方便我们查看数据包的具体内容。以下是一些常见的Wireshark过滤规则:
1. host
host过滤规则可用于查目标主机的数据包。指定该选项后,Wireshark将只显示与该特定主
机通信的流量。使用该选项的过滤语法如下:
host host_address
其中,host_address可以是IP地址或主机名。如果要查源或目标地址是特定IP地址的数据包,只需将该IP地址用作host_address的参数即可。
2. ip
ip过滤规则用于基于IP协议来查数据包。该规则捕获传输层协议数据单元的所有IP数据包。使用该规则的语法如下:
基于tcp协议的应用程序包括ip.addr == IP_address
其中,IP_address可以是源或目标IP地址,也可以是IP地址范围。
3. port
端口过滤规则是最常见的过滤规则之一。使用该规则时,可以指定TCP或UDP端口号来查数据包。语法如下:
tcp.port == port_number
或者
udp.port == port_number
其中,port_number是目标端口号。
4. protocol
使用协议过滤规则可以针对传输层协议类型(如TCP或UDP)进行过滤。语法如下:
tcp.protocol == “http”
或者
udp.protocol == “dhcp”
其中,“http”和“dhcp”分别是协议名称。
5. mac
使用mac地址过滤规则可以查源或目标mac地址。该规则主要用于分析本地网络的流量。语法如下:
eth.addr == mac_address
其中,mac_address是要匹配的MAC地址。
6. 和与或
逻辑运算符AND和OR可以用于Wireshark过滤器的操作。例如,可以使用以下语法来结合使用两个过滤选项:
ip.addr == 10.0.0.1 && tcp.port == 80
其中,&&用于指定AND逻辑,并且只有当源或目标IP地址为10.0.0.1且TCP端口为80时,才会显示数据包。
使用OR逻辑运算符时,可以使用以下语法:
tcp.port == 80 tcp.port == 8080
其中, 用于指定OR逻辑,并且只要数据包的TCP端口是80或8080,就会显示数据包。
过滤规则的常见用途
下面将列举一些常见的过滤规则及其用途,以帮助读者更好地理解Wireshark的过滤功能。
1. 到主机和端口号
一些网络问题可能不仅与特定主机相关,还可能与特定端口相关。因此,如果希望到与特定主机和端口相关的数据包,则可以使用以下过滤规则:
host hostname && tcp.port == port_number
例如,如果要查看与主机名“google”和端口号443相关的数据包,则可以使用以下过滤规则:
host google && tcp.port == 443
2. 到特定的应用程序
某些应用程序可能使用特定的端口号和协议,因此可以使用以下过滤规则来查这些数据包:
tcp.port == port_number && http
进一步细分如果只需要查与HTTP POST相关的数据包,则可以使用以下过滤规则:
tcp.port == port_number && hod == “POST”
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论