欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 合肥 | 长沙 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
建策9月H3CTE通过榜
建策科技2018年秋季专场招...
建策10月RHCE考试战报|...
建策CCIELAB通过战报
Linux技术大赛暨2018...
建策人才联盟秋季专场招聘会—...

 

  网站位置:首页 > 学习交流 > 技术文档下载
Wireshark简单使用指南3-抓包过滤器
[2018-11-8]

Wireshark有两种过滤器,分别是抓包过滤器和显示过滤器。

我们这一期先看抓包过滤器

抓包过滤器

抓包过滤器可以让管理员只抓取自己想要抓取的信息,同时丢弃其他的信息。如果不加过滤器我们会抓取所有的数据包,会占用大量的内存和资源,所以我们可以通过抓包过滤器抓取满足条件的数据包,同时丢弃其他数据包。我们可以在捕获-选项窗口中进行配置

在这个窗口中,用户可以选择自己想要抓包的接口,可以一次性选择多个接口进行抓包。

管理接口选项可以添加或者删除用户希望监听的接口。甚至可以添加远端的接口。

选择捕获菜单下的捕获过滤器,我们可以看到一个对话框

这里都是一些默认的抓包过滤器配置,比如只抓取TCP,只抓取UDP等过滤器。我们可以在这里创建和保存自定义的抓包过滤器

下面我们就来创建一个自定义的过滤器,这一次我们只想抓取去往baidu的数据包,其他数据包统统都丢弃。

点击+号新建一个过滤器

名称就叫做www.baidu.com

后面的String就是写字符串的地方,这里要遵循一种叫做伯克利数据包过滤(BPF)的语法来定义过滤。

我们这里写的ip host www.baidu.com

就是针对所有去往百度的流量

下面我们来试一试

在wireshark首页点击绿色标签,在下拉菜单中选中我们刚才创建的过滤器

 

和上一期一样我们采用无线网卡接入的网络。点击WLAN开始抓包

虽然小编开着QQ,和一些其他程序,但是Wireshark什么也没有抓到。因为这些都不是我们的目标数据包,下面我们打开www.baidu.com看一看

一下抓到好多数据包

点开看一下,IP数据包的目的地址是180.97.33.107

我们用CMD验证一下现在小编的电脑上解析百度的IP地址是多少

这样一来我们的目标就实现了。

生产环境中数据包种类繁杂,如何确保我们只抓取想要的数据包,就必须熟悉BPF语法,下面给出了一些常用语法。

过滤器语法

描述

Port  8080

所有与8080端口相关的流量

Src  host 192.168.1.1

所有从主机192.168.1.1始发的流量

Dst  host 192.168.1.1

所有去往主机192.168.1.1的流量

Src  port 53

所有由端口53始发的流量

Dst  port 21

所有去往21端口的流量

Tcp

所有tcp流量

Host www.google.com

所有去往Google IP地址或者来自Google的流量

 

     如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢


友情链接
 
瞻博网络
华三
红帽
华三
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:南京市玄武区洪武北路55号斯亚•置地广场23楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区天河北路906号高科大厦A座11楼 联系电话:020-22233596、020-22233426
 长沙办事处:长沙市韶山北路139号湖南文化大厦2103室    联系电话:0731-82812056 82812057
 合肥办事处:合肥市南二环路与马鞍山路交口加侨国际广场A栋2111-2112室 联系电话:0551-65670518
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18662714115
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室