wireshark数据包抓取之捕获过滤器的使用

捕获过滤器的语法

捕获过滤器的语法采用BPF语法，关于什么是BPF语法大家想要知道的话可以自行谷歌。讲的通俗一点，wireshark的捕获过滤器使用一些限定词，如（host/src/port)，和限定值，然后通过逻辑运算符结合起来的表达式。

下面给出一个简单的过滤器，该过滤器用来指定只捕获来自特定ip的数据包

host 47.***.***.16

常用的限定词分为下面三大类：

• 类型：如host/net/port

• 方向：如src/dst

• 协议：如ip/tcp/udp/http/https

逻辑运算符有以下

• 与运算符&&

• 或运算符||

• 非运算符！

接下来，从几个方面来演示如何使用捕获过滤器。

地址过滤器

地址过滤器是我们日常中使用最多的了，用来指定来自特定IP或主机名的数据包。除此之外，还可以指定MAC地址、IPv6地址。

下面来通过几个案例来演示：

限定IPv4地址

host 192.168.1.111

限定地址及方向：即限定源地址，只捕获从某个特定ip来的数据包

src host 192.168.1.111

限定MAC地址

ether host 00:0c:29:84:5b:d0

端口过滤器

端口过滤器日常用的也比较多，比如只捕获80端口数据或只捕获22端口的数据包等。

捕获目标端口为80端口的数据包

src port 80

不捕获22端口数据包

!port 22

协议过滤器

用来限定协议，这个限定的协议是不分层的，可以是应用层协议http、https、ftp、dns，也可以是传输层协议tcp、udp或者是ip层的ip协议、icmp等。

只捕获icmp协议数据包

icmp

最后，我们来弄一个稍微复杂点的综合例子吧。同时限定ip、方向以及端口的过滤器，如下

host 192.168.1.111 && dst port 80

相关推荐：《Windows运维》

以上就是wireshark数据包抓取之捕获过滤器的使用的详细内容，更多请关注php中文网其它相关文章！