### 6.6 应用过滤器 - Wireshark 数据包分析实战
#### 一、概述
本章节主要介绍如何利用Wireshark及其命令行工具TShark进行数据包过滤,以及如何通过Tcpdump实现类似的功能。数据包过滤是网络分析中的一个重要环节,能够帮助用户快速定位关注的数据流,从而提高工作效率。
#### 二、TShark过滤器
**1. 捕获过滤器**
- **语法**: TShark支持Berkeley Packet Filter (BPF)语法。
- **应用**: 使用`-f`参数配合BPF语法进行实时过滤。
- **示例**: `tshark –ni 1 –w packets.pcap –f "tcp port 80"`,该命令将只捕获目标端口为80的TCP流量,并将其保存到`packets.pcap`文件中。
**2. 显示过滤器**
- **语法**: 使用Wireshark显示过滤器语法。
- **应用**: 通过`-Y`参数应用显示过滤器。
- **示例**: `tshark –ni 1 –w packets.pcap –Y "tcp.dstport == 80"`,该命令在捕获过程中仅显示目标端口为80的TCP流量。
**3. 应用于已捕获文件**
- **应用**: 使用`-r`参数读取已捕获的文件,并通过`-Y`参数应用显示过滤器。
- **示例**: `tshark –r packets.pcap –Y "tcp.dstport == 80"`,此命令将显示`packets.pcap`文件中所有目标端口为80的TCP包。
#### 三、Tcpdump过滤器
**1. 捕获过滤器**
- **语法**: Tcpdump同样支持BPF语法。
- **应用**: 使用单引号括起来的过滤表达式进行过滤。
- **示例**: `tcpdump –nni eth0 –w packets.pcap 'tcp dst port 80'`,该命令将捕获目标端口为80的TCP流量并保存至`packets.pcap`文件。
**2. 应用于已捕获文件**
- **应用**: 通过`-r`参数读取文件,再使用过滤表达式进行筛选。
- **示例**: `tcpdump –r packets.pcap 'tcp dst port 80'`,此命令将显示`packets.pcap`文件中所有目标端口为80的TCP包。
**3. 过滤器文件**
- **语法**: 可以创建一个包含一系列过滤器的BPF文件。
- **应用**: 使用`-F`参数指定过滤器文件。
- **示例**: `tcpdump –nni eth0 –F dns_servers.bpf`,该命令使用名为`dns_servers.bpf`的文件中的过滤器进行捕获。
- **注释**: BPF文件中不允许直接添加注释,建议创建两个版本的文件,一个用于实际运行,另一个包含注释以供参考。
#### 四、过滤器的高级应用
**1. 多步骤过滤**
- **应用场景**: 当需要对大型捕获文件进行精细化分析时,可以通过多步过滤将感兴趣的流量提取出来。
- **示例**: `tcpdump –r packets.pcap 'tcp dst port 80' –w http_packets.pcap`,该命令从`packets.pcap`文件中筛选出目标TCP端口为80的流量,并保存至新文件`http_packets.pcap`。
**2. 结合Wireshark与Tcpdump**
- **应用场景**: 在进行大规模数据捕获后,使用Tcpdump进行初步筛选,然后在Wireshark中进行深入分析。
- **示例**: 先使用Tcpdump对原始捕获文件进行过滤,得到较小的文件,再导入Wireshark进行进一步的分析和可视化展示。
#### 五、总结
本章节介绍了如何使用TShark和Tcpdump进行数据包过滤的方法,包括捕获过滤器和显示过滤器的应用,以及如何通过过滤器文件简化复杂过滤器的管理。通过对这些工具的掌握,可以帮助网络工程师高效地分析网络流量,解决网络问题。
