wireshark捕獲過濾器語法使用解析

指定捕獲過濾器

捕獲過濾器的語法格式為：

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

以上語法解析：

Protocol (協定) :該選項用來指定協定。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果沒有特別指明是什麼
議，則預設使用所有支援的協定。

Direction (方向) :該選項用來指定來源或目的地，預設使用src or dst作為關鍵該選項可使用的值有src、dst、 sre and dst和src or dst。

Host(s): 指定主機地址。如果沒有指定，預設使用host 關鍵字。可能使用的值有
net、port、 host 和portrange.

Logical Operations (邏輯運算):該選項用來指定邏輯運運算元。可能使用的值有and和or.其中，not (否)具有最高的優先順序; or (或)和and (與)具有
優先順序，運算時從左至右進行。

Other expression (其他表示式) :使用其他表示式捕獲過濾器。

例如：

指定捕獲tcp協定且埠為80 的封包：

基於型別過濾

Wireshark可以基於型別進行捕獲過濾。其中可能使用的型別有主機host，網段net，埠port，埠範圍portrange和特殊型別。

主機host

語法格式： host host

解析：第一個host表示過濾器型別為host：第二個host表示主機地址，可以是ipv4或Ipv6地址。

例：捕獲主機192.168.1.10 的封包。

host 192.168.1.10

網段net

net用來指定捕獲那個網段的封包，其中網路型別的過濾器有三種形式。分別是：

net net
net mask
net CIDR

net net

net 192.168.1.0 //對應掩碼 255.255.255.255
net 192.168.1 //對應掩碼 255.255.255.0
net 192.168 //對應掩碼 255.255.0.0
net 192 //對應掩碼255.0.0.0

net mask形式

net 192.168.1.0 mask 255.255.255.0

net CIDR形式

net 192.168.1.0/24

埠port

語法格式： port port

例： port 80

埠範圍

語法：portrange port1-port2

例： portrange 1-100

特殊型別

gateway host

基於傳輸方向的過濾

1. 源src

可以在host，net，port，portrange型別前面田間src；

src host host //僅捕獲地址為指定主機的封包
src net net //僅捕獲源地址為指定網段的封包
src port port //僅捕獲源埠為指定埠的封包
src portrange port1-port2 //僅捕獲埠範圍為指定埠範圍的封包

2. 目標dst

dst host host //僅捕獲地址為指定主機的封包
dst net net //僅捕獲源地址為指定網段的封包
dst port port //僅捕獲源埠為指定埠的封包
dst portrange port1-port2 //僅捕獲埠範圍為指定埠範圍的封包

3. 源或者目標

src or dst host
src or dst net
src or dst port
src or dst portrange port1-port2

4. 源和目標

src and dst host
src and dst net
src and dst port
src and dst portrange port1-port2

5. 特殊方向

除了上述還有兩種特殊方向捕獲過濾器，分別是：
廣播：broadcast
多播：multicast

ether broadcast //捕獲乙太網廣播流量
ip broadcast //捕獲ip廣播流量
ether multicast //捕獲哦乙太網多播流量

廣播和多播的區別

主機之間一對所有的通訊模式，網路對其中每一臺主機發出的訊號都進行無條件複製並轉發，所有主機都可以接收到所有資訊（不管你是否需要），由於其不用路徑選擇，所以其網路成本可以很低廉。有線電視網就是典型的廣播型網路，我們的電視機實際上是接受到所有頻道的訊號，但只將一個頻道的訊號還原成畫面。在資料網路中也允許廣播的存在，但其被限制在二層交換機的區域網範圍內，禁止廣播資料穿過路由器，防止廣播資料影響大面積的主機。

廣播的優點：

1）網路裝置簡單，維護簡單，佈網成本低廉

2）由於伺服器不用向每個客戶機單獨傳送資料，所以伺服器流量負載極低。

廣播的缺點：

1）無法針對每個客戶的要求和時間及時提供個性化服務。

2）網路允許伺服器提供資料的頻寬有限，使用者端的最大頻寬＝服務總頻寬。例如有線電視的使用者端的線路支援100個頻道（如果採用數位壓縮技術，理論上可以提供500個頻道），即使服務商有更大的財力設定更多的傳送裝置、改成光纖主幹，也無法超過此極限。也就是說無法向眾多客戶提供更多樣化、更加個性化的服務。

3）廣播禁止允許在Internet寬頻網上傳輸。

組播：

主機之間一對一組的通訊模式，也就是加入了同一個組的主機可以接受到此組內的所有資料，網路中的交換機和路由器只向有需求者複製並轉發其所需資料。主機可以向路由器請求加入或退出某個組，網路中的路由器和交換機有選擇的複製並傳輸資料，即只將組內資料傳輸給那些加入組的主機。這樣既能一次將資料傳輸給多個有需要（加入組）的主機，又能保證不影響其他不需要（未加入組）的主機的其他通訊。

組播的優點：

1）需要相同資料流的使用者端加入相同的組共用一條資料流，節省了伺服器的負載。具備廣播所具備的優點。

2）由於組播協定是根據接受者的需要對資料流進行復制轉發，所以伺服器端的服務總頻寬不受客戶接入端頻寬的限制。IP協定允許有2億6千多萬個組播，所以其提供的服務可以非常豐富。

3）此協定和單播協定一樣允許在Internet寬頻網上傳輸。

組播的缺點：

1）與單播協定相比沒有糾錯機制，發生丟包錯包後難以彌補，但可以通過一定的容錯機制和QOS加以彌補。

2）現行網路雖然都支援組播的傳輸，但在客戶認證、QOS等方面還需要完善，這些缺點在理論上都有成熟的解決方案，只是需要逐步推廣應用到現存網路當中。

範例：捕獲IPV4多播封包

基於協定過濾

1. 協定
支援的協定過濾器

捕捉過濾器（CaptureFilters）：用於決定將什麼樣的資訊記錄在捕捉結果中。

顯示過濾器（DisplayFilters）：用於在捕捉結果中進行詳細查詢。

這些可以搭配前面所講的過濾方式達到更加巧妙的過濾方式

例子：過濾源主機為192.168.1.100並且為tcp協定埠80的資料

基於資料過濾

1. 長度過濾
可以使用 less ，greater關鍵字

less 12 也可寫成 len <=12
greater 12 也可寫成 len>=12

2. 基於內容過濾

語法格式： proto[expr:size] relop express

引數解析：

proto：支援的協定，有ether，fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6或radio

expr :指定協定的偏移地址

size：指定資料長度其中，單位bit

relop：指定使用的運運算元，關係運算子有，>,<,>=,<=.=,!=，二進位制運運算元有，+，-，*，/，%，&，|，^,<<,>>

例如：捕獲所有ipv4地址包，

ip[0] & 0xf !=5

使用多個捕獲過濾器

通過結合邏輯運運算元可以同時使用多個捕獲過濾器。

有： not (!) ,and(&&),or(||) ,

例如：捕獲主機192.168.1.100，而且tcp埠為80的封包

host 192.168.1.100 and tcp port 80

注意： not(!) 具有最高優先順序，and(&&)和 or(||）優先順序相等。

使用預置表示式

可以將平時常用，或者，想到騷操作記錄下來，下次就可以直接使用了。

ok，捕獲過濾器的內容到這裡就結束了，接下來會持續更新，顯示過濾器，資料的處理與分析，等內容，更多關於wireshark捕獲過濾器語法的資料請關注it145.com其它相關文章！