本文摘自PHP中文网,作者齐天大圣,侵删。
wireshark显示过滤器是用来将已经捕获的数据包进行过滤,只显示符合过滤条件的数据包。显示过滤器通常比捕获过滤器更加的常用,通常在抓包的过程中不加限定条件,任何包都抓取,然后通过显示过滤器来分析特定的数据包。显示过滤器有两种方法,分别是:
对话框方式
文字表达式方式
对话框方式显示器
该方法非常的简答,只需要动动鼠标就可以选择自己需要的过滤规则。依次点击分析――>Display Filter Expression
左边的框是所有可用的协议域。选择一个过滤协议域,然后选择关系,最后填上值,一个显示过滤就完成了。
文字表达式的显示过滤器
对话框方式适合新手,但玩过一段时间wireshark后,熟悉它的显示过滤器规则后,就可使用文字表达式方式来操作。下面演示一些常见的显示过滤器:
协议限定
用来限定常用的协议,如http、ssh、tcp等。
只显示http协议
1 |
|
显示http或ssh协议数据包
1 |
|
限定IP地址及端口
IP地址和端口是用的最多的过滤条件了,但和捕获过滤器不同的是,显示过滤器是用ip.addr == ip地址来限定。
限定IP
1 |
|
限定数据包的大小
1 |
|
常见的比较操作符有:
大于 >
小于 <
大于等于 >=
小于等于 <=
等于 ==
非等于 !=
逻辑表达式的作用
相关阅读 >>
更多相关阅读请进入《wireshark》频道 >>
