wireshark捕获过滤器语法使用解析

目录

• 指定捕获过滤器
• 基于类型过滤
• 基于传输方向的过滤
• 基于协议过滤
• 基于数据过滤
• 使用多个捕获过滤器
• 使用预置表达式

指定捕获过滤器

捕获过滤器的语法格式为：
<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

以上语法解析：

● Protocol (协议) :该选项用来指定协议。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果没有特别指明是什么
议，则默认使用所有支持的协议。

●Direction (方向) :该选项用来指定来源或目的地，默认使用src or dst作为关键该选项可使用的值有src、dst、 sre and dst和src or dst。

●Host(s): 指定主机地址。如果没有指定，默认使用host 关键字。可能使用的值有
net、port、 host 和portrange.

●Logical Operations (逻辑运算):该选项用来指定逻辑运算符。可能使用的值有and和or.其中，not (否)具有最高的优先级; or (或)和and (与)具有
优先级，运算时从左至右进行。

●Other expression (其他表达式) :使用其他表达式捕获过滤器。

例如：

指定捕获tcp协议且端口为80 的数据包：

基于类型过滤

Wireshark可以基于类型进行捕获过滤。其中可能使用的类型有主机host，网段net，端口port，端口范围portrange和特殊类型。

• 主机host

语法格式： host host

解析：第一个host表示过滤器类型为host：第二个host表示主机地址，可以是ipv4或Ipv6地址。

例：捕获主机192.168.1.10 的数据包。

host 192.168.1.10

-2 网段net
net用来指定捕获那个网段的数据包，其中网络类型的过滤器有三种形式。分别是：
net net
net mask
net CIDR

• net net

net 192.168.1.0 //对应掩码 255.255.255.255
net 192.168.1 //对应掩码 255.255.255.0
net 192.168 //对应掩码 255.255.0.0
net 192 //对应掩码255.0.0.0

• net mask形式

net 192.168.1.0 mask 255.255.255.0

• net CIDR形式

net 192.168.1.0/24

• 端口port

语法格式： port port

例： port 80

• 端口范围

语法：portrange port1-port2

例： portrange 1-100

• 特殊类型

gateway host

基于传输方向的过滤

1. 源src
可以在host，net，port，portrange类型前面田间src；

src host host //仅捕获地址为指定主机的数据包
src net net //仅捕获源地址为指定网段的数据包
src port port //仅捕获源端口为指定端口的数据包
src portrange port1-port2 //仅捕获端口范围为指定端口范围的数据包

2. 目标dst

dst host host //仅捕获地址为指定主机的数据包
dst net net //仅捕获源地址为指定网段的数据包
dst port port //仅捕获源端口为指定端口的数据包
dst portrange port1-port2 //仅捕获端口范围为指定端口范围的数据包

3. 源或者目标

src or dst host
src or dst net
src or dst port
src or dst portrange port1-port2

4. 源和目标

src and dst host
src and dst net
src and dst port
src and dst portrange port1-port2

5. 特殊方向
除了上述还有两种特殊方向捕获过滤器，分别是：
广播：broadcast
多播：multicast

ether broadcast //捕获以太网广播流量
ip broadcast //捕获ip广播流量
ether multicast //捕获哦以太网多播流量

广播和多播的区别

实例：捕获IPV4多播数据包

基于协议过滤

1. 协议
支持的协议过滤器

这些可以搭配前面所讲的过滤方式达到更加巧妙的过滤方式

例子：过滤源主机为192.168.1.100并且为tcp协议端口80的数据

基于数据过滤

1. 长度过滤
可以使用 less ，greater关键字

less 12 也可写成 len <=12
greater 12 也可写成 len>=12

2. 基于内容过滤

语法格式： proto[expr:size] relop express

参数解析：

• proto：支持的协议，有ether，fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6或radio
• expr :指定协议的偏移地址
• size：指定数据长度其中，单位bit
• relop：指定使用的运算符，关系运算符有，>,<,>=,<=.=,!=，二进制运算符有，+，-，*，/，%，&，|，^,<<,>>

例如：捕获所有ipv4地址包，

ip[0] & 0xf !=5

使用多个捕获过滤器

通过结合逻辑运算符可以同时使用多个捕获过滤器。

有： not (!) ,and(&&),or(||) ,

例如：捕获主机192.168.1.100，而且tcp端口为80的数据包

host 192.168.1.100 and tcp port 80

注意： not(!) 具有最高优先级，and(&&)和 or(||）优先级相等。

使用预置表达式

然后点击管理捕获过滤器

可以将平时常用，或者，想到骚操作记录下来，下次就可以直接使用了。

ok，捕获过滤器的内容到这里就结束了，接下来会持续更新，显示过滤器，数据的处理与分析，等内容，持续关注吧