三十五：Wireshark的捕获过滤器-EW帮帮网

微信交流群：https://732903.hlcode.cn/?id=NK1fWUR

Wireshark 是一个广泛使用的网络协议分析工具，主要用于捕获和分析网络流量。它支持丰富的协议分析，并提供了多种过滤方式，以便用户在大量数据中精确地找到自己关注的内容。在Wireshark中，过滤器可以分为两类：捕获过滤器和显示过滤器。本文将重点介绍 Wireshark 的 捕获过滤器，以及它们如何帮助用户提高抓包效率。

什么是捕获过滤器？

捕获过滤器（Capture Filter）用于在网络流量捕获阶段就过滤掉不感兴趣的数据包。与显示过滤器不同，捕获过滤器是在数据包抓取时就进行过滤，确保只有符合特定条件的数据包被捕获并保存到文件中。捕获过滤器通常用于限制Wireshark捕获的网络数据量，减少对系统性能的影响，并更有针对性地捕获用户关心的数据。

捕获过滤器的工作原理

在Wireshark启动抓包前，用户可以设置捕获过滤器。Wireshark将基于过滤条件来决定哪些数据包应当被捕获，哪些不应被捕获。捕获过滤器是基于 BPF（Berkeley Packet Filter） 语法的，因此它们在使用时有一些语法和格式上的限制。

过滤器的格式

Wireshark 的捕获过滤器使用与 Linux 或 BSD 系统中常用的 BPF 语法相似的规则。常见的捕获过滤器语法包括：

协议过滤：只捕获特定协议的流量，例如 TCP、UDP、ICMP 等。
- 例：tcp 捕获所有 TCP 数据包。
- 例：icmp 捕获所有 ICMP 数据包。
源或目的 IP 地址：只捕获源或目的 IP 地址为指定地址的数据包。
- 例：src host 192.168.1.1 捕获源 IP 为 192.168.1.1 的数据包。
- 例：dst host 10.0.0.1 捕获目的 IP 为 10.0.0.1 的数据包。
端口号过滤：通过指定端口号过滤捕获流量。
- 例：port 80 捕获所有涉及端口 80（HTTP）的数据包。
- 例：src port 443 捕获源端口为 443（HTTPS）的数据包。
网络接口：只在指定的网络接口上捕获数据包。
- 例：ether host 00:1a:2b:3c:4d:5e 捕获与指定 MAC 地址相关的数据包。
逻辑运算符：使用 and、or 和 not 等逻辑运算符组合多个条件。
- 例：src host 192.168.1.1 and dst port 80 捕获源 IP 为 192.168.1.1 且目的端口为 80 的数据包。

捕获过滤器示例

仅捕获TCP流量：
```
tcp
```
捕获来自指定IP的数据包：
```
src host 192.168.0.1
```
捕获目的端口为443（HTTPS）的流量：
```
dst port 443
```
捕获来自IP地址为192.168.0.1且目的端口为80的HTTP流量：
```
src host 192.168.0.1 and dst port 80
```
捕获ICMP流量并排除掉特定的主机：
```
icmp and not host 192.168.0.1
```

捕获过滤器与显示过滤器的区别

Wireshark 的 显示过滤器 用于在捕获的流量被加载到Wireshark界面后，对数据进行筛选。显示过滤器可以在数据捕获后进行更加复杂的分析，但它并不会影响数据包捕获的范围。而 捕获过滤器 是在数据捕获时就应用的，它限制了Wireshark所捕获的数据包的种类和数量，能够有效减少系统负担。

捕获过滤器与显示过滤器的比较

特点	捕获过滤器	显示过滤器
过滤作用	捕获阶段，决定哪些数据包将被保存	数据加载后筛选数据包
过滤精度	过滤条件较少，语法简单	支持更复杂的过滤条件和逻辑
性能影响	减少捕获的数据量，节省资源	不影响捕获，主要用于后续分析
使用时机	捕获数据时	数据包捕获后，分析过程中

捕获过滤器的局限性

捕获过滤器的语法比较简洁，因此只能支持有限的过滤功能，不能像显示过滤器那样支持复杂的条件和多维度筛选。
捕获过滤器的设置必须在开始捕获之前进行，不能在数据捕获过程中动态调整。

捕获过滤器的使用场景

限制数据量：在高流量的网络环境中，捕获所有数据包可能会导致性能问题。使用捕获过滤器可以仅捕获感兴趣的流量，如特定的协议或IP地址的流量，减少不必要的负担。
故障排除：在排查网络故障时，使用捕获过滤器可以帮助快速定位问题。例如，如果怀疑某个设备发出的ARP请求有问题，可以设置过滤器仅捕获ARP包，迅速查看相关数据。
安全分析：对于安全专家而言，捕获过滤器能够帮助过滤出特定的攻击流量，如特定端口或协议的流量，从而集中精力分析潜在的威胁。