wireshark捕获过滤器与显示过滤器

### Wireshark捕获过滤器与显示过滤器详解 #### 捕获过滤器与显示过滤器概述 在使用Wireshark进行网络分析时，如何有效地筛选出关注的数据包至关重要。由于Wireshark能够捕获大量的网络数据，如果没有合适的过滤手段，可能会导致用户面临海量而无序的数据流。为了解决这个问题，Wireshark提供了两种类型的过滤器：**捕获过滤器**和**显示过滤器**。 - **捕获过滤器**：在捕获过程中应用的一种过滤方式，决定了哪些数据包会被记录下来。这种过滤器需要在开始捕获之前设置。 - **显示过滤器**：在已经捕获的数据包中进一步筛选，帮助用户快速定位感兴趣的数据包。这类过滤器可以在捕获完成后随时调整。 #### 捕获过滤器详解 捕获过滤器的语法与TCPdump相似，因为它也是基于Libpcap（Linux）或Winpcap（Windows）库实现的。以下是几种常见的捕获过滤器示例： 1. **显示目的TCP端口为3128的封包**：`tcp dst port 3128` - 这条命令会过滤出所有目的端口为3128的数据包，通常用于代理服务器的监控。 2. **显示来源IP地址为10.1.1.1的封包**：`ip src 10.1.1.1` - 该过滤器用于筛选出特定源IP地址的数据包，例如监控某个特定主机的通信情况。 3. **显示目的或来源IP地址为10.1.2.3的封包**：`host 10.1.2.3` - 这种过滤器可以捕获所有涉及特定IP地址的数据包，无论是作为源还是目的地址。 4. **显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包**：`src portrange 2000-2500` - 这个过滤器特别适用于监控特定端口范围内的通信，如服务器的某些服务监听的端口。 5. **显示除了icmp以外的所有封包**：`not icmp` - 该过滤器排除了所有ICMP协议的数据包，适用于忽略ping等网络测试工具产生的流量。 6. **显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包**：`ip.src == 10.7.2.12 and not ip.dst net 10.200.0.0/16` - 这种组合过滤器可以用来监控特定源IP地址的流量，但排除流向特定子网的数据包。 7. **显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包**：`(ip.src == 10.4.1.12 or ip.src net 10.6.0.0/16) and tcp.dst portrange 200-10000 and ip.dst net 10.0.0.0/8` - 这个复杂的过滤器示例展示了如何结合多种条件来精确过滤数据包，适用于需要高度定制化筛选规则的情况。 #### 显示过滤器详解 显示过滤器的语法更加灵活，支持多种逻辑表达式，如下表所示： | 逻辑表达式 | C语言写法 | 含义 | |------------|-----------|--------------| | `and` | `&&` | 逻辑与 | | `or` | `||` | 逻辑或 | | `xor` | `^^` | 逻辑异或 | | `not` | `!` | 逻辑非 | 逻辑异或（`xor`）是一种特殊的逻辑运算符，仅当两边的条件恰好只有一个成立时才返回真，这在某些情况下非常有用，例如当需要排除两种特殊情况中的重叠部分时。 示例： - `tcp.dstport 80 xor tcp.dstport 1025` - 这个过滤器将只显示目的TCP端口为80或者1025的数据包，但不会同时显示两者都满足的情况。 其他常见显示过滤器示例包括： - **显示SNMP或DNS或ICMP封包**：`snmp or dns or icmp` - 这个过滤器可以用于监控网络中的SNMP、DNS或ICMP协议的数据包。 - **显示来源或目的IP地址为10.1.1.1的封包**：`ip.addr == 10.1.1.1` - 此过滤器用于筛选出与特定IP地址相关的所有数据包，无论是作为源地址还是目的地址。 通过合理运用这两种过滤器，用户可以高效地筛选和分析网络流量，从而更好地理解网络行为，排查问题。