1、wireshark 的过滤器有两种,第一种是捕获过滤器,开启后只会抓取符合过滤规则的包,可以在进入软件后的主页面直接设置,也可以选择工具栏上的“捕获”-“选项”进行设置。
2、第二种则是显示过滤器,在捕获界面,在捕获过程中或结束后都可在界面上方设置显示过滤器。
1、显示过滤器和捕获过滤器的语法都是类似的,下面以捕获过滤器进行详细介绍。
2、首先,可以输入 "port" 来限定要捕获的包的端口,如图,"port 80" 表示要捕获所有使用 80 端口的数据包。
3、此外,可以在 "port" 前加上 "src" "dst" 来指定是源端口或目的端口,也可直接使用 "src" "dst" 来限定源地址或目的地址,如图,"dst 192.168.1.1" 表示要捕获所有发送到 192.168.1.1 的包。
4、也可直接使用 TCP/IP 协议栈的协议名称,来捕获指定协议的数据包,如 "tcp" 会捕获所有使用 TCP 协议的数据包。
5、此外,还可以使用括号、"and"、"or" "not" 等来组成复杂的表达式,如 "dst 192.168.1.1 and ((not tcp port 80) or udp port 2333)" 表示要捕获目的地址为 192.168.1.1 的,并且使用端口不是 80 的 TCP 数据包,或者目的地址为 192.168.1.1 的,并且使用 2333 端口的 UDP 数据包
6、wireshark 还提供了很多预定义的捕获规则,可在工具栏“捕获”-“捕获过滤器”中查看,也可自己添加。
