【Wireshark】- 过滤器(2)
【Wireshark】- Statistics,Analyze菜单(3)
【socket】- Wireshark抓包分析TCP/IP三次握手和四次挥手
Wireshark有非常强大的过滤系统,可以满足我们快速分析数据包,如果加上配色规则,那么将带来很大的方便。当然,有强大的过滤系统,便会有相应的过滤规则。工欲善其事必先利其器。
过滤器在Wireshark可以分为“抓包过滤器”和“显示过滤器”。抓包过滤器配置在抓包前,一经应用,将不会抓取过滤器过滤掉的数据包。而显示过滤器只是在抓取到的数据包列表进行显示的过滤,方便跟踪自己想要分析的数据包。
Wireshark是基于tcpdump程序,tcpdump相关可以参考:
tcpdump教程
tcpdump介绍
在开始抓包前,除了可以选择需要抓包的网卡,同时可以选择过滤条件。capture filter for selected interfaces:点击左边的书签选择过滤条件。
可选择的过滤条件可以在菜单:Capture ->Capture Filters里面配置,下面是wireshark默认的配置条件。
点击“+”可以添加过滤条件,当然你也可以点击上面已经存在的修改其属性。左边是过滤的名称,右边是具体的过滤条件。
如果想要抓包过滤器中的过滤条件起反作用,可以在源条件前加“not”或者“!”。
eg:ether host <Ethernet host>和not ether host <Ethernet host>作用相反。
更多参考
Wireshark抓包过滤器生成工具
https://www.packetlevel.ch/html/txt/byte_offsets.txt
这里就贴两张图,学完上面的规则,加上显示过滤器的提示功能,应该可以自行配置的。
等等
参考:《Wireshark网络分析实战》
我们都知道Wireshark是个强大的网络抓包工具,但是现在网络中的数据实在太多,一开抓包没几分钟就内存爆了,而我们真正想要的数据包只占一点点,所以Wireshark在真实环境中抓包必须要开启前置过滤功能。
前置过滤:在Wireshark里叫捕获过滤器,表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包。
一定要先选中 你要过滤网卡,然后再点击过滤器。一般物联网数据都是往某个特定端口上发送,选取端口过滤就行
设置完之后直接开始 可以看到数据包就会很少:
数据过滤就设置完成了。
日志保存: Wireshark提供了完善的日志保存功能,能按时间,包大小,数据包个数等存日志,前置过滤为前提。
存下来的日志 Wireshark 自动按照时间命名文件。日志后续可以直接用Wireshark 打开进行一步步过滤显示,也可以直接拿Python等脚本处理,得到我们自己想要分析的数据。
Wireshark 的世界里有2种过滤器,分别是捕获过滤器和显示过滤器。
采用恰当的过滤器,不但能提高数据分析的灵活性,而且能让分析者更快看到自己想要的分析对象。
BPF(Berkeley Packet Filter)全称为伯克利包过滤,是一种功能非常强大的过滤语法.这个语法被广泛应用于多种数据包嗅探软件,因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPcap库.诸如tcpdump,wireshark等等。
捕获过滤器:wireshark 仅捕获过滤器设置的数据,其它数据不收集,用于定向分析问题。
显示过滤器:wireshark 对已经捕获的数据,进行显示设置。只是不显示的数据还是在内存中的,修改显示过滤器就可以显示出来,不适合大流量的场景。
捕获过滤器语法规则 BPF(Berkeley Packet Filter),使用 google 搜索 “BPF 语法” 能搜索到很多相关内容。
显示过滤器是对已经抓取的数据,进行显示过滤设置。 语法是 wireshark 自己的语法,可以使用 wireshark 辅助生成过滤表达式。
WireShark DisplayFilter Examples
https://zhuanlan.zhihu.com/p/45185666
Wireshark基础使用和表达式语法
https://blog.csdn.net/qq_35634181/article/details/105294265
Chapter 6. Working With Captured Packets
https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html
Wireshark入门与进阶系列之常见捕获过滤器
https://blog.csdn.net/qq_29277155/article/details/52077239
BPF过滤规则
https://staight.github.io/2018/07/25/BPF%E8%BF%87%E6%BB%A4%E8%A7%84%E5%88%99/
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)