在Wireshark中往往會抓到很多數(shù)據(jù)，這時我們就需要用到過濾器Filter來篩選出我們所關(guān)心的數(shù)據(jù)包。

10年積累的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作經(jīng)驗(yàn)，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有寬甸免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

Wireshark提供了兩種過濾器：

• 捕獲過濾器：在抓包之前就設(shè)定好過濾條件，然后只抓取符合條件的數(shù)據(jù)包。

• 顯示過濾器：在已捕獲的數(shù)據(jù)包集合中設(shè)置過濾條件，隱藏不想顯示的數(shù)據(jù)包，只顯示符合條件的數(shù)據(jù)包。

需要注意的是，這兩種過濾器所使用的語法是完全不同的，在本篇博文中將介紹捕獲過濾器。

---

使用捕獲過濾器的主要原因就是性能。如果你知道并不需要分析某個類型的流量，那么可以簡單地使用捕獲過濾器過濾掉它，從而節(jié)省那些會被用來捕獲這些數(shù)據(jù)包的處理器資源。當(dāng)處理大量數(shù)據(jù)的時候，使用捕獲過濾器是相當(dāng)好用的。

新版Wireshark的初始界面非常簡潔，主要就提供了兩項(xiàng)功能：先設(shè)置捕獲過濾器，然后再選擇負(fù)責(zé)抓包的網(wǎng)卡。由此可見捕獲過濾器的重要性。

比如我們希望只抓取與80端口之間的通信，那么可以設(shè)置過濾規(guī)則“port 80”。

 

捕獲過濾器應(yīng)用于Winpcap，并使用Berkeley Packet Filter（BPF）語法，其語法規(guī)則如下：

協(xié)議 方向 類型 數(shù)據(jù)

• 協(xié)議，可能的值：ether、ip、arp、tcp、udp、http、ftp……，如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

• 方向，可能的值：src、dst，如果沒有特別指明來源或目的地，則默認(rèn)使用“src or dst”作為關(guān)鍵字。例如，“host 10.2.2.2”與“src or dst host 10.2.2.2”是一樣的。

• 類型，可能的值：net、port、host，如果沒有指定此值，則默認(rèn)使用”host”關(guān)鍵字。例如，“src 10.1.1.1”與“src host 10.1.1.1”相同。

我們還可以使用以下三種邏輯運(yùn)算符，對表達(dá)式進(jìn)行組合，從而創(chuàng)建更高級的表達(dá)式。

邏輯與&&，邏輯或||，邏輯非!

比如下面這個表達(dá)式，只捕獲源地址是192.168.0.10并且源端口或目的端口是80的數(shù)據(jù)包。

src 192.168.0.10 && port 80

 

應(yīng)用示例

如果我們希望抓取某臺特定主機(jī)或設(shè)備的數(shù)據(jù)包，那么可以根據(jù)設(shè)備的IP地址或MAC地址來設(shè)置過濾規(guī)則。

比如只抓取IP地址為192.168.0.10的數(shù)據(jù)包。

host 192.168.0.10

如果考慮到主機(jī)的IP地址可能會變化，那么可以指定MAC地址進(jìn)行過濾。

ether host 00-50-56-C0-00-01

也可以根據(jù)數(shù)據(jù)的流向來過濾：

src host 192.168.0.10 //從192.168.0.10發(fā)出的數(shù)據(jù)包 dst host 192.168.0.10 //發(fā)往192.168.0.10的數(shù)據(jù)包 ether src host 00-50-56-C0-00-01 //從00-50-56-C0-00-01發(fā)出的數(shù)據(jù)包 ether dst host 00-50-56-C0-00-01 //發(fā)往00-50-56-C0-00-01的數(shù)據(jù)包

需要注意的是，host在表達(dá)式中是默認(rèn)選項(xiàng)，因而上面的這幾個表達(dá)式無論是否加上host都是表達(dá)相同含義。

再比如通過端口進(jìn)行過濾：

port 8080 //只捕獲8080端口的流量 !port 8080 //捕獲8080端口外的所有流量 dst port 8080 //只捕獲前往8080端口的流量

通過協(xié)議或通信方式進(jìn)行過濾：

icmp //只捕獲ICMP流量 !broadcast //不要抓取廣播包

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前標(biāo)題：Wireshark系列之4捕獲過濾器-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://weahome.cn/article/echdg.html