【Wireshark 02】抓包过滤方法

 一、官方教程

Wireshark  官网文档 ：

Wireshark User’s Guide

二、显示过滤器

2.1、 “数据包列表”窗格的弹出过滤菜单

例如，源ip地址作为过滤选项，右击源ip->prepare as filter-> 选中

 点击选中完，显示过滤器，自动填写了过滤源ip地址，结果如下。

同样的操作，可以选择端口或者其他列表项。

2.2、 “数据包详细信息”窗格弹出过滤菜单

例如在 目标端口 右击，prepare as filter-> 选中

选中结果，在显示过滤器，自动填写了过滤目地端口，结果如下。

2.3、显示过滤器比较操作

2.4、 显示过滤器字段类型

1、无符号整数

可以是8、16、24、32或64位。您可以用十进制，八进制，十六进制或二进制表示整数。以下显示过滤器等效：

ip.len le 1500

ip.len le 02734

ip.len le 0x5dc

ip.len le 0b10111011100

2、有符号整数

可以是8、16、24、32或64位。与未签名的整数一样，您可以使用小数，八分，十六进制或二进制。

3、布尔

可以是1或“ true”，0或“ false”（无引号）。

无论其值为真还是假，都存在一个布尔字段。例如， tcp.flags.syn在包含标志的所有TCP数据包中都存在，无论SYN标志为0还是1。要仅将TCP数据包与SYN FLAG集匹配，则需要使用tcp.flags.syn == 1或使用tcp.flags.syn == True。

4、以太网地址

6个字节，由冒号（:）、点（.）或破折号（-）分隔，分隔符之间有一个或两个字节：

eth.dst == ff:ff:ff:ff:ff:ff

eth.dst == ff-ff-ff-ff-ff-ff

eth.dst == ffff.ffff.ffff

5、IPv4地址

ip.addr == 192.168.0.1

CIDR （Classless domain interrouting）表示法可以用来检测IPv4地址是否在某个子网中。例如，下面的显示过滤器将查找129.111 b类网络中的所有数据包：

ip.addr == 129.111.0.0/16

6、IPv6地址

ipv6.addr == ::1

与IPv4地址一样，IPv6地址可以匹配子网。

7、文本字符串

http.request.uri == "https://www.wireshark.org/"

字符串是字节序列。像lower（）这样的函数使用ASCII，否则不假设特定的编码。字符串字面值用双引号指定。字符也可以使用十六进制\xhh或八进制\ddd的字节转义序列来指定，其中h和d分别是十六进制和八进制数字：

dns.qry.name contains "www.\x77\x69\x72\x65\x73\x68\x61\x72\x6b.org"

另外，可以使用原始的字符串语法。此类字符串的前缀有r或R将后斜线视为字面性格。

http.user_agent matches r"\(X11;"

8、日期和时间

frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

绝对时间字段的值表示为字符串，使用上述两种格式之一。分数秒可以省略或指定到纳秒精度；允许额外的尾随零，但不允许其他数字。该字符串不能使用时区后缀，并且始终按照本地时区进行解析，即使对于以UTC显示的字段也是如此。

在第一种格式中，缩写的月份名称必须是英文，而与语言环境无关。在第二种格式中，可以省略任意数量的时间字段，按照从最不重要（秒）到最重要的顺序，但至少必须指定整个日期：

frame.time < "2022-01-01"

在第二种格式中，T在ISO 8601中的日期和时间之间可能会出现a，但在降低较少的时间时不会出现。

2.5、显示过滤器逻辑操作

三、定义和保存过滤器  

您可以创建出现在捕获和显示过滤器书签菜单（过滤器工具栏书签）中的预定义过滤器。这可以节省记忆和重新输入您使用的一些更复杂的过滤器的时间。

要创建或编辑捕获过滤器，请从捕获过滤器书签菜单中选择“管理捕获过滤器” 或从主菜单中选择捕获→捕获过滤器。显示过滤器可以通过从显示过滤器书签菜单中选择“管理显示过滤器”或从主菜单中选择“分析→显示过滤器”来创建或编辑。Wireshark会打开相应的对话框，如图6.10所示，“Capture Filters”和“Display Filters”对话框。这两个对话框看起来和工作起来都很相似。这里对两者都进行了描述，并根据需要指出了它们之间的差异。