wireshark工具的顯示過濾器的使用

wireshark顯示過濾器是用來將已經捕獲的封包進行過濾，只顯示符合過濾條件的封包。顯示過濾器通常比捕獲過濾器更加的常用，通常在抓包的過程中不加限定條件，任何包都抓取，然後通過顯示過濾器來分析特定的數據包。

顯示篩選器有兩種方法，分別是：

• 對話方塊方式

• ##文字表達式方式

對話方塊方式顯示器

#該方法非常的簡答，只需要動動滑鼠就可以選擇自己需要的過濾規則。依序點選分析－>Display Filter Expression

#左邊的方塊是所有可用的協定域。選擇一個過濾協定域，然後選擇關係，最後填上值，一個顯示過濾就完成了。

文字表達式的顯示過濾器

對話方塊方式適合新手，但玩過一段時間wireshark後，熟悉它的顯示過濾器規則後，就可使用文字表達式方式來操作。以下示範一些常見的顯示過濾器：

協議限定

#用來限定常用的協議，如http、ssh、tcp等。

只顯示http協定

http

顯示http或ssh協定封包

http or ssh

限定IP位址及連接埠

IP位址和連接埠是用的最多的過濾條件了，但和擷取過濾器不同的是，顯示過濾器是用ip.addr == ip位址來限定。

限定IP

ip.addr == 192.168.110.145

限定封包的大小

frame.len > 128

常見的比較運算子有：

• 大於>

• 小於<

• #大於等於>=

• 小於等於<=

• 等於==

• #非等於!=

邏輯表達式的作用

frame.len > 128 and ip.addr == 192.168.110.145

常見的邏輯運算子有：

• 且，兩個條件同時滿足 and

• 或，兩個條件滿足一個or

• 非，沒有條件被滿足not

• 異或，其中一個條件滿足另一個不滿足xor

限定埠號

#要注意的是，port前面要加上限定的協議，如tcp.port

tcp.port==80

常用的顯示過濾器表達式

最後，再給出常用的顯示過濾器表達式

!arp 排除arp数据包
http 只显示http数据包
!tcp.port==80 过滤http数据包
tcp.port==21 or tcp.port==22 ftp或ssh
tcp.flags.syn==1 具有syn标志位的tcp数据包
tcp.flags.rst==1 具有rst标志位的tcp数据包

相關推薦：《

Windows運維》

以上是wireshark工具的顯示過濾器的使用的詳細內容。更多資訊請關注PHP中文網其他相關文章！