指定捕獲過濾器

捕獲過濾器的語法格式為：

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

以上語法解析：

Protocol (協(xié)議) :該選項用來指定協(xié)議?？墒褂玫闹涤衑ther、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果沒有特別指明是什么
議，則默認使用所有支持的協(xié)議。

Direction (方向) :該選項用來指定來源或目的地，默認使用src or dst作為關鍵該選項可使用的值有src、dst、 sre and dst和src or dst。

Host(s): 指定主機地址。如果沒有指定，默認使用host 關鍵字。可能使用的值有
net、port、 host 和portrange.

Logical Operations (邏輯運算):該選項用來指定邏輯運算符。可能使用的值有and和or.其中，not (否)具有最高的優(yōu)先級; or (或)和and (與)具有
優(yōu)先級，運算時從左至右進行。

Other expression (其他表達式) :使用其他表達式捕獲過濾器。

例如：

指定捕獲tcp協(xié)議且端口為80 的數(shù)據包：

基于類型過濾

Wireshark可以基于類型進行捕獲過濾。其中可能使用的類型有主機host，網段net，端口port，端口范圍portrange和特殊類型。

主機host

語法格式： host host

解析：第一個host表示過濾器類型為host：第二個host表示主機地址，可以是ipv4或Ipv6地址。

例：捕獲主機192.168.1.10 的數(shù)據包。

host 192.168.1.10

網段net

net用來指定捕獲那個網段的數(shù)據包，其中網絡類型的過濾器有三種形式。分別是：

net net
net mask
net CIDR

net net

net 192.168.1.0 //對應掩碼 255.255.255.255
net 192.168.1 //對應掩碼 255.255.255.0
net 192.168 //對應掩碼 255.255.0.0
net 192 //對應掩碼255.0.0.0

net mask形式

net 192.168.1.0 mask 255.255.255.0

net CIDR形式

net 192.168.1.0/24

端口port

語法格式： port port

例： port 80

端口范圍

語法：portrange port1-port2

例： portrange 1-100

特殊類型

gateway host

基于傳輸方向的過濾

1. 源src

可以在host，net，port，portrange類型前面田間src；

src host host //僅捕獲地址為指定主機的數(shù)據包
src net net //僅捕獲源地址為指定網段的數(shù)據包
src port port //僅捕獲源端口為指定端口的數(shù)據包
src portrange port1-port2 //僅捕獲端口范圍為指定端口范圍的數(shù)據包

2. 目標dst

dst host host //僅捕獲地址為指定主機的數(shù)據包
dst net net //僅捕獲源地址為指定網段的數(shù)據包
dst port port //僅捕獲源端口為指定端口的數(shù)據包
dst portrange port1-port2 //僅捕獲端口范圍為指定端口范圍的數(shù)據包

3. 源或者目標

src or dst host
src or dst net
src or dst port
src or dst portrange port1-port2

4. 源和目標

src and dst host
src and dst net
src and dst port
src and dst portrange port1-port2

5. 特殊方向

除了上述還有兩種特殊方向捕獲過濾器，分別是：
廣播：broadcast
多播：multicast

ether broadcast //捕獲以太網廣播流量
ip broadcast //捕獲ip廣播流量
ether multicast //捕獲哦以太網多播流量

廣播和多播的區(qū)別

主機之間一對所有的通訊模式，網絡對其中每一臺主機發(fā)出的信號都進行無條件復制并轉發(fā)，所有主機都可以接收到所有信息（不管你是否需要），由于其不用路徑選擇，所以其網絡成本可以很低廉。有線電視網就是典型的廣播型網絡，我們的電視機實際上是接受到所有頻道的信號，但只將一個頻道的信號還原成畫面。在數(shù)據網絡中也允許廣播的存在，但其被限制在二層交換機的局域網范圍內，禁止廣播數(shù)據穿過路由器，防止廣播數(shù)據影響大面積的主機。

廣播的優(yōu)點：

1）網絡設備簡單，維護簡單，布網成本低廉

2）由于服務器不用向每個客戶機單獨發(fā)送數(shù)據，所以服務器流量負載極低。

廣播的缺點：

1）無法針對每個客戶的要求和時間及時提供個性化服務。

2）網絡允許服務器提供數(shù)據的帶寬有限，客戶端的最大帶寬＝服務總帶寬。例如有線電視的客戶端的線路支持100個頻道（如果采用數(shù)字壓縮技術，理論上可以提供500個頻道），即使服務商有更大的財力配置更多的發(fā)送設備、改成光纖主干，也無法超過此極限。也就是說無法向眾多客戶提供更多樣化、更加個性化的服務。

3）廣播禁止允許在Internet寬帶網上傳輸。

組播：

主機之間一對一組的通訊模式，也就是加入了同一個組的主機可以接受到此組內的所有數(shù)據，網絡中的交換機和路由器只向有需求者復制并轉發(fā)其所需數(shù)據。主機可以向路由器請求加入或退出某個組，網絡中的路由器和交換機有選擇的復制并傳輸數(shù)據，即只將組內數(shù)據傳輸給那些加入組的主機。這樣既能一次將數(shù)據傳輸給多個有需要（加入組）的主機，又能保證不影響其他不需要（未加入組）的主機的其他通訊。

組播的優(yōu)點：

1）需要相同數(shù)據流的客戶端加入相同的組共享一條數(shù)據流，節(jié)省了服務器的負載。具備廣播所具備的優(yōu)點。

2）由于組播協(xié)議是根據接受者的需要對數(shù)據流進行復制轉發(fā)，所以服務端的服務總帶寬不受客戶接入端帶寬的限制。IP協(xié)議允許有2億6千多萬個組播，所以其提供的服務可以非常豐富。

3）此協(xié)議和單播協(xié)議一樣允許在Internet寬帶網上傳輸。

組播的缺點：

1）與單播協(xié)議相比沒有糾錯機制，發(fā)生丟包錯包后難以彌補，但可以通過一定的容錯機制和QOS加以彌補。

2）現(xiàn)行網絡雖然都支持組播的傳輸，但在客戶認證、QOS等方面還需要完善，這些缺點在理論上都有成熟的解決方案，只是需要逐步推廣應用到現(xiàn)存網絡當中。

實例：捕獲IPV4多播數(shù)據包

基于協(xié)議過濾

1. 協(xié)議
支持的協(xié)議過濾器

捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結果中。

顯示過濾器（DisplayFilters）：用于在捕捉結果中進行詳細查找。

這些可以搭配前面所講的過濾方式達到更加巧妙的過濾方式

例子：過濾源主機為192.168.1.100并且為tcp協(xié)議端口80的數(shù)據

基于數(shù)據過濾

1. 長度過濾
可以使用 less ，greater關鍵字

less 12 也可寫成 len <=12
greater 12 也可寫成 len>=12

2. 基于內容過濾

語法格式： proto[expr:size] relop express

參數(shù)解析：

proto：支持的協(xié)議，有ether，fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6或radio

expr :指定協(xié)議的偏移地址

size：指定數(shù)據長度其中，單位bit

relop：指定使用的運算符，關系運算符有，>,<,>=,<=.=,!=，二進制運算符有，+，-，*，/，%，&，|，^,<<,>>

例如：捕獲所有ipv4地址包，

ip[0] & 0xf !=5

使用多個捕獲過濾器

通過結合邏輯運算符可以同時使用多個捕獲過濾器。

有： not (!) ,and(&&),or(||) ,

例如：捕獲主機192.168.1.100，而且tcp端口為80的數(shù)據包

host 192.168.1.100 and tcp port 80

注意： not(!) 具有最高優(yōu)先級，and(&&)和 or(||）優(yōu)先級相等。

使用預置表達式

可以將平時常用，或者，想到騷操作記錄下來，下次就可以直接使用了。

ok，捕獲過濾器的內容到這里就結束了，接下來會持續(xù)更新，顯示過濾器，數(shù)據的處理與分析，等內容，更多關于wireshark捕獲過濾器語法的資料請關注腳本之家其它相關文章！

最新評論