Wireshark嗅探工具怎么設置捕獲過濾規(guī)則

使用Wireshark軟件進行抓包，為了捕獲指定的網(wǎng)絡數(shù)據(jù)包，我們可以設置過濾規(guī)則，這樣就能正確轉(zhuǎn)包。問題來了，如何設置Wireshark捕獲過濾器?為了幫助新手用戶解決困擾，本文整理了詳細說明，請參考。

Wireshark嗅探工具怎么設置捕獲過濾規(guī)則

從Wireshark2.x版本開始，啟動軟件，在歡迎界面中就能看到捕獲過濾器，在框中輸入過濾表達式，即可抓取符合規(guī)則的數(shù)據(jù)包，

點擊圖中的書簽標志，彈出菜單，選擇【管理捕獲篩選器】，即可看到捕獲過濾表達示的書寫形式，如圖，

過濾表達式的語法說明

一條基本的表達式由過濾項、過濾關(guān)系和過濾值這三項組成，比如ip.addr == 192.168.1.1，ip.addr是過濾項，==是過濾關(guān)系，192.168.1.1是過濾值，意思就是找出所有ip協(xié)議中源或目標ip等于192.168.1.1的數(shù)據(jù)包。

過濾項：Wireshark的過濾項是【協(xié)議.協(xié)議字段】的模式，以端口為例，端口出現(xiàn)于tcp協(xié)議中所以有端口這個過濾項且其寫法就是tcp.port，

過濾關(guān)系：過濾關(guān)系就是大于、小于、等于這三種關(guān)系，你可以直接查看官方給出的表，注意，“English”和“C-like”這兩種寫法在Wireshark中是等價的，都是可用的。

過濾值：過濾值是指設定的過濾項應該滿足過濾關(guān)系的標準，比如500、5000、50000等，過濾值的寫法一般已經(jīng)被過濾項和過濾關(guān)系設定了，只需要填寫你自己的期望值即可。

過濾表達式舉例

1、數(shù)據(jù)鏈路層：

篩選mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

2、網(wǎng)絡層：

篩選ip地址為192.168.1.1的數(shù)據(jù)包----ip.addr == 192.168.1.1

3、傳輸層：

篩選tcp協(xié)議的數(shù)據(jù)包----tcp

篩選除tcp協(xié)議以外的數(shù)據(jù)包----!tcp

篩選端口為80的數(shù)據(jù)包----tcp.port == 80

只看文章說明，大家可能還是有點模糊，無妨，只要多多練習即可很快理解。