【Wireshark】Wireshark 过滤器表达式语法

Posted 2023-03-19

参考技术A   Wireshark 的世界里有2种过滤器，分别是捕获过滤器和显示过滤器。

采用恰当的过滤器，不但能提高数据分析的灵活性，而且能让分析者更快看到自己想要的分析对象。

BPF(Berkeley Packet Filter)全称为伯克利包过滤,是一种功能非常强大的过滤语法.这个语法被广泛应用于多种数据包嗅探软件,因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPcap库.诸如tcpdump,wireshark等等。

捕获过滤器：wireshark 仅捕获过滤器设置的数据，其它数据不收集，用于定向分析问题。

显示过滤器：wireshark 对已经捕获的数据，进行显示设置。只是不显示的数据还是在内存中的，修改显示过滤器就可以显示出来，不适合大流量的场景。

捕获过滤器语法规则 BPF（Berkeley Packet Filter），使用 google 搜索 “BPF 语法” 能搜索到很多相关内容。

显示过滤器是对已经抓取的数据，进行显示过滤设置。 语法是 wireshark 自己的语法，可以使用 wireshark 辅助生成过滤表达式。

WireShark DisplayFilter Examples

https://zhuanlan.zhihu.com/p/45185666

Wireshark基础使用和表达式语法

https://blog.csdn.net/qq_35634181/article/details/105294265

Chapter 6. Working With Captured Packets

https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

Wireshark入门与进阶系列之常见捕获过滤器

https://blog.csdn.net/qq_29277155/article/details/52077239

BPF过滤规则

https://staight.github.io/2018/07/25/BPF%E8%BF%87%E6%BB%A4%E8%A7%84%E5%88%99/