WirlShark 过滤用法
来源:互联网 发布:Linux文件的移动 编辑:程序博客网 时间:2024/05/22 14:02
4.8. 捕捉时过滤
Wireshark使用libpcap过滤语句进行捕捉过滤(what about winpcap?)。在tcpdump主页有介绍,但这些只是过于晦涩难懂,所以这里做小幅度讲解。
你可以从http://wiki.wireshark.org/CaptureFilters找到捕捉过滤范例.
在Wireshark捕捉选项对话(见图 4.2 “"Capture Option/捕捉选项"对话框”)框输入捕捉过滤字段。下面的语句有点类似于tcpdump捕捉过滤语言。在tcpdump主页http://www.tcpdump.org/tcpdump_man.html可以看到tcpdump表达式选项介绍。
捕捉过滤的形式为:和取值(and/or)进行进行基本单元连接,加上可选的,高有限级的not:
[not] primitive [and|or [not] primitive ...]
例 4.1. 捕捉来自特定主机的telnet协议
tcp port 23 and host 10.0.0.5
本例捕捉来自或指向主机10.0.0.5的Telnet 通信,展示了如何用and连接两个基本单元。另外一个例子例 4.2 “捕捉所有不是来自10.0.0.5的telnet 通信”展示如何捕捉所有不是来自10.0.0.5的telnet 通信。
例 4.2. 捕捉所有不是来自10.0.0.5的telnet 通信
tcp host 23 and not src host 10.0.0.5
此处笔者建议增加更多范例。但是并没有添加。
一个基本单元通常是下面中的一个
- [src|dst] host <host>
此基本单元允许你过滤主机ip地址或名称。你可以优先指定src|dst关键词来指定你关注的是源地址还是目标地址。如果未指定,则指定的地址出现在源地址或目标地址中的包会被抓取。
- ether [src|dst] host <ehost>
此单元允许你过滤主机以太网地址。你可以优先指定关键词src|dst在关键词ether和host之间,来确定你关注的是源地址还是目标地址。如果未指定,同上。
- gateway host<host>
过滤通过指定host作为网关的包。这就是指那些以太网源地址或目标地址是host,但源ip地址和目标ip地址都不是host的包
- [src|dst] net <net> [{mask<mask>}|{len <len>}]
通过网络号进行过滤。你可以选择优先指定src|dst来确定你感兴趣的是源网络还是目标网络。如果两个都没指定。指定网络出现在源还是目标网络的都会被选择。另外,你可以选择子网掩码或者CIDR(无类别域形式)。
- [tcp|udp] [src|dst] port <port]
过滤tcp,udp及端口号。可以使用src|dst和tcp|udp关键词来确定来自源还是目标,tcp协议还是udp协议。tcp|udp必须出现在src|dst之前。
- less|greater <length>
选择长度符合要求的包。(大于等于或小于等于)
- ip|ether proto <protocol>
选择有指定的协议在以太网层或是ip层的包
- ether|ip broadcast|multicast
选择以太网/ip层的广播或多播
- <expr> relop <expr>
创建一个复杂过滤表达式,来选择包的字节或字节范围符合要求的包。请参考http://www.tcpdump.org/tcpdump_man.html
4.8.1. 自动过滤远程通信
如果Wireshark是使用远程连接的主机运行的(例如使用SSH,X11 Window输出,终端服务器),远程连接必须通过网络传输,会在你真正感兴趣的通信中产生大量数据包(通常也是不重要的)
想要避免这种情况,wireshark可以设置为如果发现有远程连接(通过察看指定的环境变量),自动创建一个过滤器来匹配这种连接。以避免捕捉Wireshark捕捉远程连接通信。
下列环境变量可以进行分析
- SSH——CONNECTION(ssh)
<remote IP> <remote port> <local IP> <local port>
- SSH_CLIENT (ssh)
<remote IP> <remote port> <local port>
- REMOTEHOST (tcsh, others?)
<remote name>
- DISPLAY (x11)
[remote name]:<display num>
- SESSIONNAME (terminal server)
<remote name>
- WirlShark 过滤用法
- grep过滤的用法
- CFileDialog过滤的用法
- grep 过滤 用法
- J2EE中的过滤器的用法(过滤乱码)
- 数组过滤与NSPredicate类的用法
- NSPredicate过滤数组元素的用法
- Logcat过滤及常见用法整理
- Logcat过滤及常见用法整理
- Logcat过滤及常见用法整理
- magento cron的用法 ,以及 null过滤
- PacketFilter 包过滤类及其子类用法
- NSPredicate谓词的用法 数组过滤
- PacketFilter 包过滤类及其子类用法
- iOS---NSPredicate谓词的用法 数组过滤
- 记录_HttpServletRequestWrapper(前台请求过滤的用法)
- tcpdump的基本用法之过滤表达式
- iostope用法示例之过滤篇
- struts1.x 动态方法调用
- 走近Oracle数据字典--数据字典表
- mtd_util 1.3.1错误
- Android 内核
- XDebug On Ubuntu
- WirlShark 过滤用法
- 移动互联网概括
- IT人失业后14件可以做的事情
- NetBeans 调试c++
- 微个分第毫吨个微万十第个
- 游标
- HTTP协议演示_基于 HTTP 的 Web Forms 编程3-5-HTTP 协议概述
- (转)VMware下ghost安装XP后无法从硬盘启动的问题
- 找到多个具有相同 ID“_header”的控件。FindControl 要求控件具有唯一的 ID。错误的解决方法!