指定捕獲過(guò)濾器

捕獲過(guò)濾器的語(yǔ)法格式為：

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

以上語(yǔ)法解析：

Protocol (協(xié)議) :該選項(xiàng)用來(lái)指定協(xié)議?？墒褂玫闹涤衑ther、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果沒(méi)有特別指明是什么
議，則默認(rèn)使用所有支持的協(xié)議。

Direction (方向) :該選項(xiàng)用來(lái)指定來(lái)源或目的地，默認(rèn)使用src or dst作為關(guān)鍵該選項(xiàng)可使用的值有src、dst、 sre and dst和src or dst。

Host(s): 指定主機(jī)地址。如果沒(méi)有指定，默認(rèn)使用host 關(guān)鍵字?？赡苁褂玫闹涤?br />net、port、 host 和portrange.

Logical Operations (邏輯運(yùn)算):該選項(xiàng)用來(lái)指定邏輯運(yùn)算符。可能使用的值有and和or.其中，not (否)具有最高的優(yōu)先級(jí); or (或)和and (與)具有
優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。

Other expression (其他表達(dá)式) :使用其他表達(dá)式捕獲過(guò)濾器。

例如：

指定捕獲tcp協(xié)議且端口為80 的數(shù)據(jù)包：

基于類型過(guò)濾

Wireshark可以基于類型進(jìn)行捕獲過(guò)濾。其中可能使用的類型有主機(jī)host，網(wǎng)段net，端口port，端口范圍portrange和特殊類型。

主機(jī)host

語(yǔ)法格式： host host

解析：第一個(gè)host表示過(guò)濾器類型為host：第二個(gè)host表示主機(jī)地址，可以是ipv4或Ipv6地址。

例：捕獲主機(jī)192.168.1.10 的數(shù)據(jù)包。

host 192.168.1.10

網(wǎng)段net

net用來(lái)指定捕獲那個(gè)網(wǎng)段的數(shù)據(jù)包，其中網(wǎng)絡(luò)類型的過(guò)濾器有三種形式。分別是：

net net
net mask
net CIDR

net net

net 192.168.1.0 //對(duì)應(yīng)掩碼 255.255.255.255
net 192.168.1 //對(duì)應(yīng)掩碼 255.255.255.0
net 192.168 //對(duì)應(yīng)掩碼 255.255.0.0
net 192 //對(duì)應(yīng)掩碼255.0.0.0

net mask形式

net 192.168.1.0 mask 255.255.255.0

net CIDR形式

net 192.168.1.0/24

端口port

語(yǔ)法格式： port port

例： port 80

端口范圍

語(yǔ)法：portrange port1-port2

例： portrange 1-100

特殊類型

gateway host

基于傳輸方向的過(guò)濾

1. 源src

可以在host，net，port，portrange類型前面田間src；

src host host //僅捕獲地址為指定主機(jī)的數(shù)據(jù)包
src net net //僅捕獲源地址為指定網(wǎng)段的數(shù)據(jù)包
src port port //僅捕獲源端口為指定端口的數(shù)據(jù)包
src portrange port1-port2 //僅捕獲端口范圍為指定端口范圍的數(shù)據(jù)包

2. 目標(biāo)dst

dst host host //僅捕獲地址為指定主機(jī)的數(shù)據(jù)包
dst net net //僅捕獲源地址為指定網(wǎng)段的數(shù)據(jù)包
dst port port //僅捕獲源端口為指定端口的數(shù)據(jù)包
dst portrange port1-port2 //僅捕獲端口范圍為指定端口范圍的數(shù)據(jù)包

3. 源或者目標(biāo)

src or dst host
src or dst net
src or dst port
src or dst portrange port1-port2

4. 源和目標(biāo)

src and dst host
src and dst net
src and dst port
src and dst portrange port1-port2

5. 特殊方向

除了上述還有兩種特殊方向捕獲過(guò)濾器，分別是：
廣播：broadcast
多播：multicast

ether broadcast //捕獲以太網(wǎng)廣播流量
ip broadcast //捕獲ip廣播流量
ether multicast //捕獲哦以太網(wǎng)多播流量

廣播和多播的區(qū)別

主機(jī)之間一對(duì)所有的通訊模式，網(wǎng)絡(luò)對(duì)其中每一臺(tái)主機(jī)發(fā)出的信號(hào)都進(jìn)行無(wú)條件復(fù)制并轉(zhuǎn)發(fā)，所有主機(jī)都可以接收到所有信息（不管你是否需要），由于其不用路徑選擇，所以其網(wǎng)絡(luò)成本可以很低廉。有線電視網(wǎng)就是典型的廣播型網(wǎng)絡(luò)，我們的電視機(jī)實(shí)際上是接受到所有頻道的信號(hào)，但只將一個(gè)頻道的信號(hào)還原成畫面。在數(shù)據(jù)網(wǎng)絡(luò)中也允許廣播的存在，但其被限制在二層交換機(jī)的局域網(wǎng)范圍內(nèi)，禁止廣播數(shù)據(jù)穿過(guò)路由器，防止廣播數(shù)據(jù)影響大面積的主機(jī)。

廣播的優(yōu)點(diǎn)：

1）網(wǎng)絡(luò)設(shè)備簡(jiǎn)單，維護(hù)簡(jiǎn)單，布網(wǎng)成本低廉

2）由于服務(wù)器不用向每個(gè)客戶機(jī)單獨(dú)發(fā)送數(shù)據(jù)，所以服務(wù)器流量負(fù)載極低。

廣播的缺點(diǎn)：

1）無(wú)法針對(duì)每個(gè)客戶的要求和時(shí)間及時(shí)提供個(gè)性化服務(wù)。

2）網(wǎng)絡(luò)允許服務(wù)器提供數(shù)據(jù)的帶寬有限，客戶端的最大帶寬＝服務(wù)總帶寬。例如有線電視的客戶端的線路支持100個(gè)頻道（如果采用數(shù)字壓縮技術(shù)，理論上可以提供500個(gè)頻道），即使服務(wù)商有更大的財(cái)力配置更多的發(fā)送設(shè)備、改成光纖主干，也無(wú)法超過(guò)此極限。也就是說(shuō)無(wú)法向眾多客戶提供更多樣化、更加個(gè)性化的服務(wù)。

3）廣播禁止允許在Internet寬帶網(wǎng)上傳輸。

組播：

主機(jī)之間一對(duì)一組的通訊模式，也就是加入了同一個(gè)組的主機(jī)可以接受到此組內(nèi)的所有數(shù)據(jù)，網(wǎng)絡(luò)中的交換機(jī)和路由器只向有需求者復(fù)制并轉(zhuǎn)發(fā)其所需數(shù)據(jù)。主機(jī)可以向路由器請(qǐng)求加入或退出某個(gè)組，網(wǎng)絡(luò)中的路由器和交換機(jī)有選擇的復(fù)制并傳輸數(shù)據(jù)，即只將組內(nèi)數(shù)據(jù)傳輸給那些加入組的主機(jī)。這樣既能一次將數(shù)據(jù)傳輸給多個(gè)有需要（加入組）的主機(jī)，又能保證不影響其他不需要（未加入組）的主機(jī)的其他通訊。

組播的優(yōu)點(diǎn)：

1）需要相同數(shù)據(jù)流的客戶端加入相同的組共享一條數(shù)據(jù)流，節(jié)省了服務(wù)器的負(fù)載。具備廣播所具備的優(yōu)點(diǎn)。

2）由于組播協(xié)議是根據(jù)接受者的需要對(duì)數(shù)據(jù)流進(jìn)行復(fù)制轉(zhuǎn)發(fā)，所以服務(wù)端的服務(wù)總帶寬不受客戶接入端帶寬的限制。IP協(xié)議允許有2億6千多萬(wàn)個(gè)組播，所以其提供的服務(wù)可以非常豐富。

3）此協(xié)議和單播協(xié)議一樣允許在Internet寬帶網(wǎng)上傳輸。

組播的缺點(diǎn)：

1）與單播協(xié)議相比沒(méi)有糾錯(cuò)機(jī)制，發(fā)生丟包錯(cuò)包后難以彌補(bǔ)，但可以通過(guò)一定的容錯(cuò)機(jī)制和QOS加以彌補(bǔ)。

2）現(xiàn)行網(wǎng)絡(luò)雖然都支持組播的傳輸，但在客戶認(rèn)證、QOS等方面還需要完善，這些缺點(diǎn)在理論上都有成熟的解決方案，只是需要逐步推廣應(yīng)用到現(xiàn)存網(wǎng)絡(luò)當(dāng)中。

實(shí)例：捕獲IPV4多播數(shù)據(jù)包

基于協(xié)議過(guò)濾

1. 協(xié)議
支持的協(xié)議過(guò)濾器

捕捉過(guò)濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。

顯示過(guò)濾器（DisplayFilters）：用于在捕捉結(jié)果中進(jìn)行詳細(xì)查找。

這些可以搭配前面所講的過(guò)濾方式達(dá)到更加巧妙的過(guò)濾方式

例子：過(guò)濾源主機(jī)為192.168.1.100并且為tcp協(xié)議端口80的數(shù)據(jù)

基于數(shù)據(jù)過(guò)濾

1. 長(zhǎng)度過(guò)濾
可以使用 less ，greater關(guān)鍵字

less 12 也可寫成 len <=12
greater 12 也可寫成 len>=12

2. 基于內(nèi)容過(guò)濾

語(yǔ)法格式： proto[expr:size] relop express

參數(shù)解析：

proto：支持的協(xié)議，有ether，fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6或radio

expr :指定協(xié)議的偏移地址

size：指定數(shù)據(jù)長(zhǎng)度其中，單位bit

relop：指定使用的運(yùn)算符，關(guān)系運(yùn)算符有，>,<,>=,<=.=,!=，二進(jìn)制運(yùn)算符有，+，-，*，/，%，&，|，^,<<,>>

例如：捕獲所有ipv4地址包，

ip[0] & 0xf !=5

使用多個(gè)捕獲過(guò)濾器

通過(guò)結(jié)合邏輯運(yùn)算符可以同時(shí)使用多個(gè)捕獲過(guò)濾器。

有： not (!) ,and(&&),or(||) ,

例如：捕獲主機(jī)192.168.1.100，而且tcp端口為80的數(shù)據(jù)包

host 192.168.1.100 and tcp port 80

注意： not(!) 具有最高優(yōu)先級(jí)，and(&&)和 or(||）優(yōu)先級(jí)相等。

使用預(yù)置表達(dá)式

可以將平時(shí)常用，或者，想到騷操作記錄下來(lái)，下次就可以直接使用了。

ok，捕獲過(guò)濾器的內(nèi)容到這里就結(jié)束了，接下來(lái)會(huì)持續(xù)更新，顯示過(guò)濾器，數(shù)據(jù)的處理與分析，等內(nèi)容，更多關(guān)于wireshark捕獲過(guò)濾器語(yǔ)法的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論