04. 显示过滤器 ❀ 数据包分析工具 Wireshark
【简介】如果打开的是软件抓包保存的文件,很显然只能用显示过滤器来进行过滤了。显示过滤器不会丢弃数据包,只是为了阅读方便而将一部分数据包隐然起来。
过滤器表达式
Wireshark 具备一些强大的特性,这些特性可以在创建过滤器时提供帮助。
① 点击显示过滤器右边的【表达式】。
② 在过滤器表达示窗口中,可以通过字段名称、关系和值,创建出各种过滤条件。这里打算过滤IP地址为192.168.38.26的所有数据包。
③ 生成的过滤条件自动显示在显示过滤器位置,点击向右箭头图标,执行过滤动作。
④ 可以看到过滤成功,非此IP的包都看不到了。
⑤ 过滤器表达式可以独立保存并快速使用。点击表达式右边的加号图标。给当前表达式添加一个标签,点击【OK】按钮。
⑥ 该表达式会以菜单的形式出现在界面上,只要点击表达式标签名,就会立即执行过滤。
⑦ 同样,保存的表达式也是可以进行管理的,点击显示过滤器左边的小图标,弹出菜单里选择【管理过滤器表达式】。
⑧ 过滤器表达式和过滤器一样也可以增加、删除、复制和修改。
虽然过滤表达式可以快速的建立显示过滤器,但是复杂的显示过滤器还是需要手动输入,例如多个条件。有时候需要使用到比较运算符和逻辑运算符。
| 运 算 符 | 描 述 |
| == / eq | 等于 |
| != / ne | 不等于 |
| < / lt | 小于 |
| <= / le | 小于等于 |
| > / gt | 大于 |
| >= / ge | 大于等于 |
① 创建显示过滤器时使用的比较运算符。
| 运 算 符 | 描 述 |
| AND / && | 如果希望表达式的几部分同时为真,就要用AND这个逻辑运算符来连接表达式的几部分。例如,使用ip src == 192.168.1.1 and tcp这个过滤器只会显示来自 ip 192.168.1.1,并且与tcp协议相关的数据包。只有同时满足这两部分的数据包,软件才会显示出来。 |
| OR / || | 如果只要求表达式中的其中一个条件为真,就要使用OR这个逻辑运算符。不过,几个条件同时为真,也满足表达式定义的标准。比如,port 53 或 port 80这个过滤器会显示与端口53(DNS)有关的流量,以及与端口80(HTTP)有关的流量。 |
| NOT / ! | 如果希望从显示的面板中排除满足某些条件的数据包,就要使用NOT这个软件运算符。比如,!dns这个过滤器会隐藏所有与DNS协议有关的数据包。 |
② 创建显示过滤器时使用的逻辑运算符。
③ 除了使用过滤器表达式,手动输入过滤器也可以大大提升网络的性能,输入时会有可用命令提示。
⑤ 可以将经常用到的显示过滤器保存起来,点击显示过滤器左边小图标,弹出子菜单选择【保存该过滤器】。
⑥ 修改显示过滤器的名称,点击【OK】保存。
⑦ 点击显示过滤器右边的叉号图标,可以删除当前的显示过滤器。
⑧ 没有了显式过滤器后立即显示所有的抓包数据。
⑨ 点击显示过滤器左边小图标,弹出子菜单里可以快速选择保存了的显示过滤器。
老梅子 QQ:57389522