wireshark过滤器
使用wireshark抓包如果不设置过滤条件则会显示大量冗余信息,很难找到自己需要的信息,wireshark过滤器就是为此而生,过滤器可以帮我们快速定位需要的信息。过滤语法详见:
- wireshark捕获过滤器语法
- wireshark显示过滤器语法
wireshark过滤器的区别
捕捉过滤器(CaptureFilters):用于决定本次抓包捕获什么样的网络包,开始抓包前设置,不会捕获不符合条件的包,需要长时间抓包或确认只需要某个类型包时推荐使用捕捉过滤器
- 优点是可以避免产生较大的捕获文件和内存占用
- 缺点是不能完整的复现测试时的网络环境
显示过滤器(DisplayFilters):在捕捉结果中进行详细查找,根据不同过滤条件显示不同的数据包
另两者的过滤语法也有些区别,捕捉过滤器的语法与其它使用libpcap/WinPcap库开发的软件相同,比如tcpdump、windump、Analyzer。
捕捉过滤器(CaptureFilters)使用方法:
依次点击菜单Capture -> Options(或工具栏第二个图标)打开wireshark的Capture Options窗口,在CaptureFilter文本框填写过滤语句,或者点击CaptureFilter按钮选择过滤条件,开始抓包过滤条件就生效了。
wireshark 1.8 的capture options窗口中CaptureFilters设置位置比较纠结:
- 将capture options窗口网卡列表的滚动条拖动到最右端
- 双击CaptureFilters列下对应捕获网卡的区域,打开edit interface settings窗口
- edit interface settings窗口下部就是设置捕获过滤条件的CaptureFilter按钮和文本框,如下图所示红框位置,截图如下:wireshark 1.8以下的版本打开capture options窗口就可以看到CaptureFilter按钮和文本框,如下图:
点击Capture Filter按钮或者通过菜单Capture — Capture Filters打开捕捉过滤器(CaptureFilters)窗口,这个窗口可以保存和删除过滤条件方便以后使用,新建并输入名字和过滤条件然后保存即可。
显示过滤器(DisplayFilters)使用方法:
显示过滤在wireshark主界面上部菜单栏下面的Filter按钮处设置,如下图所示可以在Filter后的文本框输入过滤语句,也可以点击Expression…或Filter按钮选择过滤条件,最后点击Apply按钮【快捷键Enter】即可使显示过滤条件生效。
输入过滤语句“绿色”表示正确,“红色”表示错误,有语法错误即可立即发现
点击Expression…按钮出现Filter Expression窗口,展开Field name列内的协议,并选择所需子类,然后选择条件并输入值,点击ok即可组合出过滤条件,不过个人感觉真心不好用,平时只有不会使用的过滤条件才会在这里选择。
显示过滤语法
发表评论