往往我們在使用wireshark抓包時,都會採用先抓取全部的數據包或同事、同行已經捕獲的數據包文件後再進行分析,亦或在Wireshark捕獲過程中,這樣我們就會用到【顯示過濾器】,通過語法規則、表達式來過濾所需要的內容進行分析,以達到最終發現問題解決問題的目的。
顯示過濾器介紹
語法與表達式及顯示過濾器的用法
如:我們需要過濾所有【ARP】的包,在輸入框中輸入的語法如果不完整或不正確,就會顯示為紅色,如果輸入完整或正確,就會顯示為青綠色,同時,後面的操作按鈕也分別呈現為灰色(不可操作),蘭色(可操作)。輸入完成後,點擊【箭頭】就會過濾並顯示所需要的數據包。
也可以通過Wireshark內置的語法表達式進行過濾並進行標註。
點擊【表達式】彈出【顯示過濾器表達式】窗口
①在【字段名稱】列表中選擇Ipv4—ipaddr項
②在【關係】列表中選擇==
③在【值(ipv4 address)】中輸入需要過濾的ip地址,如圖中192.168.101.111
④點擊【OK】按鈕,就會把設置好的條件輸入到過濾器輸入框中。
點擊向右的箭頭按鈕,就列出所有ip地址為192.168.101.111的數據包。
更簡單直觀的方法如下:
1、點選10.231.209.129過濾項
2、右鍵彈出菜單
3、選擇【作為過濾器應用】再選【選中】
4、10.231.209.129被作為條件被過濾,因為在【Source】這一列,所以作為源ip地址,輸入框中顯示為ip.src == 10.231.209.129
以此類推薦,可以應用條件表達式做與、或、非的操作,選擇增加各種需要的條件,包括每列、協議及數據包的相關字段,都可以作為條件來應用。
分享到:
閱讀更多 雁過無聲song 的文章
