wireshark工具的显示过滤器的使用
程序员文章站
2022-03-06 23:44:40
...
wireshark显示过滤器是用来将已经捕获的数据包进行过滤,只显示符合过滤条件的数据包。显示过滤器通常比捕获过滤器更加的常用,通常在抓包的过程中不加限定条件,任何包都抓取,然后通过显示过滤器来分析特定的数据包。
显示过滤器有两种方法,分别是:
对话框方式
文字表达式方式
对话框方式显示器
该方法非常的简答,只需要动动鼠标就可以选择自己需要的过滤规则。依次点击分析——>Display Filter Expression
左边的框是所有可用的协议域。选择一个过滤协议域,然后选择关系,最后填上值,一个显示过滤就完成了。
文字表达式的显示过滤器
对话框方式适合新手,但玩过一段时间wireshark后,熟悉它的显示过滤器规则后,就可使用文字表达式方式来操作。下面演示一些常见的显示过滤器:
协议限定
用来限定常用的协议,如http、ssh、tcp等。
只显示http协议
http
显示http或ssh协议数据包
http or ssh
限定IP地址及端口
IP地址和端口是用的最多的过滤条件了,但和捕获过滤器不同的是,显示过滤器是用ip.addr == ip地址来限定。
限定IP
ip.addr == 192.168.110.145
限定数据包的大小
frame.len > 128
常见的比较操作符有:
大于 >
小于 <
大于等于 >=
小于等于 <=
等于 ==
非等于 !=
逻辑表达式的作用
frame.len > 128 and ip.addr == 192.168.110.145
常见的逻辑运算符有:
且,两个条件同时满足 and
或,两条条件满足一个 or
非,没有条件被满足 not
异或,其中一个条件满足另一个不满足 xor
限定端口号
需要注意的是,port前面要加上限定的协议,如tcp.port
tcp.port==80
常用的显示过滤器表达式
最后,再给出常用的显示过滤器表达式
!arp 排除arp数据包 http 只显示http数据包 !tcp.port==80 过滤http数据包 tcp.port==21 or tcp.port==22 ftp或ssh tcp.flags.syn==1 具有syn标志位的tcp数据包 tcp.flags.rst==1 具有rst标志位的tcp数据包
相关推荐:《Windows运维》
以上就是wireshark工具的显示过滤器的使用的详细内容,更多请关注其它相关文章!
上一篇: php如何获取查询结果
下一篇: JS判断数组中是否包含某个值
推荐阅读
-
ajax根据ID查询数据库并返回Json格式数据返回js,使用append显示到页面。判断json值为[]或者[[]]的问题。
-
.NET读写Excel工具Spire.Xls使用 重量级的Excel图表功能(5)
-
使用php显示搜索引擎来的关键词
-
从零开始学YII2框架(五)快速生成代码工具 Gii 的使用,yii2gii_PHP教程
-
ASP.NET Core MVC 过滤器的使用方法介绍
-
ae转换顶点工具怎么用? ae转换顶点工具的两种使用方法
-
MySQL同步工具的使用方案详解
-
为缩短镜像制作及创建实例的周期应该怎么使用ECS镜像规范检测工具
-
后台主页面使用iframe做的,登陆页登陆后不显示主页面的iframe部分是咋回事
-
从零开始学YII2框架(五)快速生成代码工具 Gii 的使用_php实例