wireshark语法.doc

Wireshark 是一款强大的网络封包分析软件，用于捕获、查看和分析网络通信数据。在深入探讨Wireshark语法之前，我们先了解其两大核心过滤器：捕捉过滤器（Capture Filters）和显示过滤器（Display Filters）。 **捕捉过滤器** 主要用于在数据捕获阶段筛选网络流量，以减少不必要的数据量，防止生成过大的日志文件。它们基于简单的语法，主要关注协议、方向和主机等要素。例如，`tcp dst port 3128` 将只捕获目标TCP端口为3128的包。捕捉过滤器支持的协议包括ether、fddi、ip、arp等，方向关键词有src、dst、src and dst、src or dst，以及host、port、portrange等用于指定主机和端口。 **显示过滤器** 则是在捕获数据之后，对已经捕获的数据进行更精细的搜索和分析。显示过滤器更加强大且复杂，可以使用逻辑运算符如not、and、or进行组合过滤。例如，`not imcp` 将显示除了ICMP包之外的所有包。显示过滤器的语法更加灵活，可以结合多个条件进行精确匹配。 **逻辑运算符** 在构建过滤表达式时起着关键作用。`not` 具有最高优先级，`or` 和 `and` 优先级相同，按从左到右的顺序计算。例如，`not tcp port 3128 and tcp port 23` 等同于 `(not tcp port 3128) and tcp port 23`，但与 `not (tcp port 3128 and tcp port 23)` 不同。 **协议和地址** 在过滤器中，你可以指定特定的协议（如ip、tcp、udp）、方向（如src或dst host）、主机或端口范围。例如，`ip src host 10.1.1.1` 仅显示源IP为10.1.1.1的包，而`host 10.1.2.3` 将捕获与10.1.2.3交互的任何主机的包。MAC地址也可以用于过滤，如`ether host e0-05-c5-44-b1-3c`。 **端口范围** 可以用 `portrange` 来指定，如 `src portrange 2000-2500` 会捕获源端口在2000到2500之间的包。 **组合过滤** 示例如 `(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8`，这个表达式将捕获源IP为10.4.1.12或来自10.6.0.0/16网络，并且目标TCP端口在200到10000之间，目标网络为10.0.0.0/8的包。 **注意** ，使用关键字如`ip proto /icmp`时，需要使用反斜杠来区分关键字和实际值。此外，`multicast`和`broadcast`关键字可以用于过滤多播和广播流量。 Wireshark的过滤器语法是学习网络分析的重要部分，熟练掌握这些知识能帮助你更高效地定位网络问题，监控特定通信，以及理解网络协议的工作方式。在实际应用中，根据具体需求灵活运用捕捉和显示过滤器，可以显著提升诊断和调试网络问题的效率。