wireshark过滤器

使用wireshark抓包如果不设置过滤条件则会显示大量冗余信息,很难找到自己需要的信息,wireshark过滤器就是为此而生,过滤器可以帮我们快速定位需要的信息。过滤语法详见:

  • wireshark捕获过滤器语法
  • wireshark显示过滤器语法

wireshark过滤器的区别

捕捉过滤器(CaptureFilters):用于决定本次抓包捕获什么样的网络包,开始抓包前设置,不会捕获不符合条件的包,需要长时间抓包或确认只需要某个类型包时推荐使用捕捉过滤器

  • 优点是可以避免产生较大的捕获文件和内存占用
  • 缺点是不能完整的复现测试时的网络环境

显示过滤器(DisplayFilters):在捕捉结果中进行详细查找,根据不同过滤条件显示不同的数据包

另两者的过滤语法也有些区别,捕捉过滤器的语法与其它使用libpcap/WinPcap库开发的软件相同,比如tcpdump、windump、Analyzer。

捕捉过滤器(CaptureFilters)使用方法:

依次点击菜单Capture -> Options(或工具栏第二个图标)打开wireshark的Capture Options窗口,在CaptureFilter文本框填写过滤语句,或者点击CaptureFilter按钮选择过滤条件,开始抓包过滤条件就生效了。

wireshark 1.8 的capture options窗口中CaptureFilters设置位置比较纠结:

  • 将capture options窗口网卡列表的滚动条拖动到最右端
  • 双击CaptureFilters列下对应捕获网卡的区域,打开edit interface settings窗口
  • edit interface settings窗口下部就是设置捕获过滤条件的CaptureFilter按钮和文本框,如下图所示红框位置,截图如下:wireshark1.8 CaptureFilterswireshark 1.8以下的版本打开capture options窗口就可以看到CaptureFilter按钮和文本框,如下图:wireshark CaptureFilters

点击Capture Filter按钮或者通过菜单Capture — Capture Filters打开捕捉过滤器(CaptureFilters)窗口,这个窗口可以保存和删除过滤条件方便以后使用,新建并输入名字和过滤条件然后保存即可。

显示过滤器(DisplayFilters)使用方法:

显示过滤在wireshark主界面上部菜单栏下面的Filter按钮处设置,如下图所示可以在Filter后的文本框输入过滤语句,也可以点击Expression…或Filter按钮选择过滤条件,最后点击Apply按钮【快捷键Enter】即可使显示过滤条件生效。

输入过滤语句“绿色”表示正确,“红色”表示错误,有语法错误即可立即发现

wireshark 显示过滤器

Wireshark DisplayFilters

点击Expression…按钮出现Filter Expression窗口,展开Field name列内的协议,并选择所需子类,然后选择条件并输入值,点击ok即可组合出过滤条件,不过个人感觉真心不好用,平时只有不会使用的过滤条件才会在这里选择。

wireshark expression

显示过滤语法

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注