一、whireshark過濾器分類

抓包過濾器（在抓包之前設置的過濾器，限制抓包過程中，只抓取某一類型的數(shù)據(jù)包）

顯示過濾器（對已經(jīng)或正在抓取的數(shù)據(jù)包進行實時過濾）

二、抓包過濾器學習

1、語法（BPF語法，Berkeley Packet fillter），基于libpcap/wincap庫

2、類型Type（host，net，port）

3、方向（src，dst）

4、協(xié)議Proto（ether，ip，tcp，udp，http，ftp）

5、邏輯運算符（&&，||，!）

語法例子 ---------->

protocal（協(xié)議）	direction（方向）	host（類型）	value（值）	logical（邏輯運算符）	other expresstion（其他表達式）
tcp	src	host	192.168.1.1	&&	tcp dst port 192.168.1.3

例如：

tcp dst port 8080? ?顯示目的地的tcp端口為8080的封包

ip src? host? 192.168.1.1? 顯示源地址為192.168.1.1的封包

not? icmp （! icmp） 顯示除了icmp以外的所有封包

host 192.168.1.1? 顯示目的地址和源地位為192.168.1.1的封包

src 192.168.1.1 and port 80? 顯示源地址為192.168.1.1并且端口號為80的封包

ether src? host 00:88:cb:8e:9d:ff 過濾源mac地址為00:88:cb:8e:9d:ff的封包

三、顯示過濾器（與抓包過濾器語法有區(qū)別）

1、比較操作符（==，<，>，>=，<=，!=）

2、邏輯運算符（and，or，xor，not）

3、IP地址（ip.addr，ip.src，ip.dst）

4、端口過濾（tcp.port，tcpsrc.port，tcpdst.port，tcp.flag.syn，tcp.flag.ack）

5、協(xié)議過濾（ip，http，arp，icmp，udp，tcp，dns...）

語法例子-------------->

協(xié)議	協(xié)議子類	協(xié)議子類	比較操作符	值	邏輯運算符	其他表達式
ip	addr	?	==	192.168.1.12	||	tcp.port==80

例如：

snmp || icmp || dns? ?（顯示snmo，或icmp或dns的封包）

ip.addr == 10.1.1.1? （只顯示來源或目的ip地址為10.1.1.1的封包）

tcp.dstprot == 25 （只顯示目的端口號為25的封包）

總結

以上是生活随笔為你收集整理的whireshark过滤器学习与使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。