Wireshark的过滤器,顾名思义,作用是对数据包进行过滤处理。具体过滤器包括捕获过滤器和显示过滤器。本文对捕获过滤器进行分析。
捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。
捕获过滤器使用柏克莱封包过滤器(Berkeley Packet Filter,即BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。与其它使用Lipcap(Linux)或者Winpcap(Windows)开发的软件一样,比如著名的TCPdump。
捕捉过滤器必须在开始捕捉前设置完毕,捕捉过滤器的编制语法如下:
Protocol+Direction+type+value+Logical Operations+Other expression
例如:
ip src host 192.168.18.219
如果你的输入语法正确,则背景显示绿色,否则显示红色。
BPF理论详细介绍,参考:
http://www.tcpdump.org/manpages/pcap-filter.7.html,
实例参考:
https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
简单说明
1.类型Type: host、net、port
2.方向Dir: src、dst
3.协议Proto: ether、ip、tcp、udp、http、ftp
4.逻辑运算符: &&与、||或、!非
常用捕获过滤器,可以通过"管理捕获过滤器",进行管理。
打开过滤器的管理界面,左面部分为过滤器,右面为过滤器表达式。可以双击选中过滤器来编辑,并修改捕获过滤表达式。同时可以对过滤器进行删减。