【Wireshark】- 过滤器(2)

【Wireshark】- 入门篇(1)

【Wireshark】- 过滤器(2)

【Wireshark】- Statistics，Analyze菜单(3)

【socket】- Wireshark抓包分析TCP/IP三次握手和四次挥手

Wireshark有非常强大的过滤系统，可以满足我们快速分析数据包，如果加上配色规则，那么将带来很大的方便。当然，有强大的过滤系统，便会有相应的过滤规则。工欲善其事必先利其器。

过滤器在Wireshark可以分为“抓包过滤器”和“显示过滤器”。抓包过滤器配置在抓包前，一经应用，将不会抓取过滤器过滤掉的数据包。而显示过滤器只是在抓取到的数据包列表进行显示的过滤，方便跟踪自己想要分析的数据包。

Wireshark是基于tcpdump程序，tcpdump相关可以参考：

tcpdump教程

tcpdump介绍

在开始抓包前，除了可以选择需要抓包的网卡，同时可以选择过滤条件。capture filter for selected interfaces：点击左边的书签选择过滤条件。

可选择的过滤条件可以在菜单：Capture ->Capture Filters里面配置，下面是wireshark默认的配置条件。

点击“+”可以添加过滤条件，当然你也可以点击上面已经存在的修改其属性。左边是过滤的名称，右边是具体的过滤条件。

如果想要抓包过滤器中的过滤条件起反作用，可以在源条件前加“not”或者“!”。

eg:ether host <Ethernet host>和not ether host <Ethernet host>作用相反。

更多参考

Wireshark抓包过滤器生成工具

https://www.packetlevel.ch/html/txt/byte_offsets.txt

这里就贴两张图，学完上面的规则，加上显示过滤器的提示功能，应该可以自行配置的。

等等

参考：《Wireshark网络分析实战》

        我们都知道Wireshark是个强大的网络抓包工具，但是现在网络中的数据实在太多，一开抓包没几分钟就内存爆了，而我们真正想要的数据包只占一点点，所以Wireshark在真实环境中抓包必须要开启前置过滤功能。

前置过滤：在Wireshark里叫捕获过滤器，表达式作用在wireshark开始捕获数据包之前，只捕获符合条件的数据包。

一定要先选中 你要过滤网卡，然后再点击过滤器。一般物联网数据都是往某个特定端口上发送，选取端口过滤就行

设置完之后直接开始 可以看到数据包就会很少：

数据过滤就设置完成了。 

日志保存： Wireshark提供了完善的日志保存功能，能按时间，包大小，数据包个数等存日志，前置过滤为前提。

存下来的日志  Wireshark 自动按照时间命名文件。日志后续可以直接用Wireshark 打开进行一步步过滤显示，也可以直接拿Python等脚本处理，得到我们自己想要分析的数据。

  Wireshark 的世界里有2种过滤器，分别是捕获过滤器和显示过滤器。

采用恰当的过滤器，不但能提高数据分析的灵活性，而且能让分析者更快看到自己想要的分析对象。

BPF(Berkeley Packet Filter)全称为伯克利包过滤,是一种功能非常强大的过滤语法.这个语法被广泛应用于多种数据包嗅探软件,因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPcap库.诸如tcpdump,wireshark等等。

捕获过滤器：wireshark 仅捕获过滤器设置的数据，其它数据不收集，用于定向分析问题。

显示过滤器：wireshark 对已经捕获的数据，进行显示设置。只是不显示的数据还是在内存中的，修改显示过滤器就可以显示出来，不适合大流量的场景。

捕获过滤器语法规则 BPF（Berkeley Packet Filter），使用 google 搜索 “BPF 语法” 能搜索到很多相关内容。

显示过滤器是对已经抓取的数据，进行显示过滤设置。 语法是 wireshark 自己的语法，可以使用 wireshark 辅助生成过滤表达式。

WireShark DisplayFilter Examples

https://zhuanlan.zhihu.com/p/45185666

Wireshark基础使用和表达式语法

https://blog.csdn.net/qq_35634181/article/details/105294265

Chapter 6. Working With Captured Packets

https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

Wireshark入门与进阶系列之常见捕获过滤器

https://blog.csdn.net/qq_29277155/article/details/52077239

BPF过滤规则

https://staight.github.io/2018/07/25/BPF%E8%BF%87%E6%BB%A4%E8%A7%84%E5%88%99/

---