【转】Wireshark网络抓包(二)——过滤器
轉自:https://www.cnblogs.com/strick/p/6261915.html
一、捕獲過濾器
選中捕獲選項后,就會彈出下面這個框,在紅色輸入框中就可以編寫過濾規則。
1)捕獲單個IP地址
2)捕獲IP地址范圍
3)捕獲廣播或多播地址
4)捕獲MAC地址
5)捕獲所有端口號
6)捕獲特定ICMP數據
當網絡中出現性能或安全問題時,將會看到ICMP(互聯網控制消息協議)。
在這種情況下,用戶必須使用一個偏移量表示一個ICMP中字段的位置。
偏移量0表示ICMP字段類型,偏移量1表示ICMP位置代碼字段。
?
二、顯示過濾器
顯示過濾器語法如下:
1)協議過濾器
2)應用過濾器
3)字段存在過濾器
字段名還有很多,可以在狀態欄中找到對應的字段名:
4)特有過濾器
5)顯示單個IP地址或主機
6)顯示地址范圍
7)顯示一個子網IP
以CIDR(無類型域間選路)格式使用ip.addr字段名定義一個子網過濾器。
斜杠和數字分別定義IP地址的網絡部分和掩碼位數。
子網掩碼通過與IP地址做與操作,從而分離出 IP 地址中的網絡部分與主機部分。
8)過濾單一TCP/UDP會話
tcp.stream eq 會話序號,在傳輸層數據中可以看到會話序號。
9)使用關鍵字
1.?frame contains "string"搜索,在幀中搜索一個關鍵字
2. 字段名搜索,例如前面提到的http.request.method contains "get"
3. 搜索關鍵字時不區分大小寫,上面那個搜索將搜不出結果,因為字段內容其實是“GET”大寫的,修改http.request.method matches "(?i)(get)"
4. 搜索多個關鍵字,http.request.method matches "(?i)(get|post)"
5. 使用通配符,也就是正則表達式
10)時間過濾器
在物理層數據幀中有三個時間:
1. 距離上一個捕獲的包的時間間隔
2. 從上次顯示的包開始計時,距離上一個顯示的包的時間間隔
3. 距離第一個捕獲包的時間間隔,默認第一個數據幀的時間為0.000000
frame.time_delta?過濾的是第一種時間
在Packet List面板中默認加了Time列,表示的是第三種時間。
11)基于TCP的時間過濾
tcp.time_delta的計算與上一個類似,只是字段包含在TCP頭部,如果要查看必須啟用Calculate conversation timestamps選項。
選擇Edit | Preference | Protocols | TCP:
在傳輸層數據段中多了兩個表示時間的字段:
tcp.time_delta過濾的是第二種時間。
?
參考資料:
Wireshark網絡分析的藝術
Wireshark數據包分析實戰詳解
wireshark中的時間格式
總結
以上是生活随笔為你收集整理的【转】Wireshark网络抓包(二)——过滤器的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 四六级考试过过过!英语四级考试结束 参考
- 下一篇: 【转】DCMTK开源库的学习笔记3:dc