一、捕获过滤器
1.1 简介
Wireshark 捕获过滤(capture filter),一句话解释就是抓包过滤,需要抓取哪些特定的数据包。
简单来说的原因就是性能,如果明确知道需要或不需要分析某个协议类型的流量,那么就可以使用捕获过滤器进行过滤,从而节省处理器资源。因此当网卡传输大量数据流量的时候,通过捕获过滤器进行过滤是很有用处的。
但如果性能满足或者你对协议交互流量不那么清楚的情况下,建议还是抓全包,原因是很有可能过滤掉某些有用的数据包,会导致无法分析到产生问题的真正原因。
1.2 语法
捕获过滤器表达式由一个或多个原语组成,原语通常由「一个 id(名称或数字)」和「一个或多个限定符」组成。
| 操作符 | 符号 | 说明 |
|---|---|---|
| and | && | 与 |
| or | || | 或 |
| not | ! | 非 |
!port 8080 # 排除与 8080 端口交互的报文
!tcp # 排除 tcp 报文
!tcp || !port 8080 # 排除与 8080 端口交互的 TCP 报文
!tcp and !port 8080 # 排除所有 tcp 和 8080 端口的报文
| 限定词 | 说明 | 举例 |
|---|---|---|
| type (类型) | 指出名字或者数字所代表的意义 | host、net、port 默认 host |
| dir (方向) | 指明传输方向是前往还是来自名字或者数字 | src、dst 默认 src or dst |
| proto (协议) | 限定所要匹配的协议 | ether、ip、tcp、udp、http、ftp 默认和 type 一致的所有协议 |
udp && port 80 # 过滤所有与 80 端口交互的 UDP 报文
udp || port 80 # 过滤出 udp 或 80 端口的报文
src 192.168.0.118 # 过滤所有源地址为 192.168.0.118 的报文
src or dst 192.168.0.118 # 过滤地址为 192.168.0.118 的报文
host 192.168.0.118 # 过滤地址为 192.168.0.118 的报文
host 192.168.0.118 and port 80 # 过滤出所有与 80 端口交互且地址为 192.168.0.118 的报文
二、显示过滤器
留坑。
参考资料
- Wireshark 基础 | 捕获过滤篇_wireshark filter-CSDN博客
- Wireshark——过滤器使用_wireshark使用过滤器过滤数据-CSDN博客
- 抓包工具之wireshark常用过滤表达式_wireshark捕获过滤器表达式-CSDN博客
- pcap-filter(7) man page | TCPDUMP & LIBPCAP