往往我们在使用wireshark抓包时,都会采用先抓取全部的数据包或同事、同行已经捕获的数据包文件后再进行分析,亦或在Wireshark捕获过程中,这样我们就会用到【显示过滤器】,通过语法规则、表达式来过滤所需要的内容进行分析,以达到最终发现问题解决问题的目的。
显示过滤器介绍
语法与表达式及显示过滤器的用法
如:我们需要过滤所有【ARP】的包,在输入框中输入的语法如果不完整或不正确,就会显示为红色,如果输入完整或正确,就会显示为青绿色,同时,后面的操作按钮也分别呈现为灰色(不可操作),兰色(可操作)。输入完成后,点击【箭头】就会过滤并显示所需要的数据包。
也可以通过Wireshark内置的语法表达式进行过滤并进行标注。
点击【表达式】弹出【显示过滤器表达式】窗口
①在【字段名称】列表中选择Ipv4—ipaddr项
②在【关系】列表中选择==
③在【值(ipv4 address)】中输入需要过滤的ip地址,如图中192.168.101.111
④点击【OK】按钮,就会把设置好的条件输入到过滤器输入框中。
点击向右的箭头按钮,就列出所有ip地址为192.168.101.111的数据包。
更简单直观的方法如下:
1、点选10.231.209.129过滤项
2、右键弹出菜单
3、选择【作为过滤器应用】再选【选中】
4、10.231.209.129被作为条件被过滤,因为在【Source】这一列,所以作为源ip地址,输入框中显示为ip.src == 10.231.209.129
以此类推荐,可以应用条件表达式做与、或、非的操作,选择增加各种需要的条件,包括每列、协议及数据包的相关字段,都可以作为条件来应用。