Wireshark嗅探工具怎么設(shè)置捕獲過(guò)濾規(guī)則

使用Wireshark軟件進(jìn)行抓包，為了捕獲指定的網(wǎng)絡(luò)數(shù)據(jù)包，我們可以設(shè)置過(guò)濾規(guī)則，這樣就能正確轉(zhuǎn)包。問(wèn)題來(lái)了，如何設(shè)置Wireshark捕獲過(guò)濾器?為了幫助新手用戶(hù)解決困擾，本文整理了詳細(xì)說(shuō)明，請(qǐng)參考。

Wireshark嗅探工具怎么設(shè)置捕獲過(guò)濾規(guī)則

從Wireshark2.x版本開(kāi)始，啟動(dòng)軟件，在歡迎界面中就能看到捕獲過(guò)濾器，在框中輸入過(guò)濾表達(dá)式，即可抓取符合規(guī)則的數(shù)據(jù)包，

點(diǎn)擊圖中的書(shū)簽標(biāo)志，彈出菜單，選擇【管理捕獲篩選器】，即可看到捕獲過(guò)濾表達(dá)示的書(shū)寫(xiě)形式，如圖，

過(guò)濾表達(dá)式的語(yǔ)法說(shuō)明

一條基本的表達(dá)式由過(guò)濾項(xiàng)、過(guò)濾關(guān)系和過(guò)濾值這三項(xiàng)組成，比如ip.addr == 192.168.1.1，ip.addr是過(guò)濾項(xiàng)，==是過(guò)濾關(guān)系，192.168.1.1是過(guò)濾值，意思就是找出所有ip協(xié)議中源或目標(biāo)ip等于192.168.1.1的數(shù)據(jù)包。

過(guò)濾項(xiàng)：Wireshark的過(guò)濾項(xiàng)是【協(xié)議.協(xié)議字段】的模式，以端口為例，端口出現(xiàn)于tcp協(xié)議中所以有端口這個(gè)過(guò)濾項(xiàng)且其寫(xiě)法就是tcp.port，

過(guò)濾關(guān)系：過(guò)濾關(guān)系就是大于、小于、等于這三種關(guān)系，你可以直接查看官方給出的表，注意，“English”和“C-like”這兩種寫(xiě)法在Wireshark中是等價(jià)的，都是可用的。

過(guò)濾值：過(guò)濾值是指設(shè)定的過(guò)濾項(xiàng)應(yīng)該滿足過(guò)濾關(guān)系的標(biāo)準(zhǔn)，比如500、5000、50000等，過(guò)濾值的寫(xiě)法一般已經(jīng)被過(guò)濾項(xiàng)和過(guò)濾關(guān)系設(shè)定了，只需要填寫(xiě)你自己的期望值即可。

過(guò)濾表達(dá)式舉例

1、數(shù)據(jù)鏈路層：

篩選mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

2、網(wǎng)絡(luò)層：

篩選ip地址為192.168.1.1的數(shù)據(jù)包----ip.addr == 192.168.1.1

3、傳輸層：

篩選tcp協(xié)議的數(shù)據(jù)包----tcp

篩選除tcp協(xié)議以外的數(shù)據(jù)包----!tcp

篩選端口為80的數(shù)據(jù)包----tcp.port == 80

只看文章說(shuō)明，大家可能還是有點(diǎn)模糊，無(wú)妨，只要多多練習(xí)即可很快理解。