Wireshark包过滤

Posted 2020-12-17 ananing

一、简介

伯克利包过滤：BPF(Berkeley Packet Filter)采用与自然语言相近的语法，利用语法构造字符串确定保留具体符合规则的数据包而忽略其他数据包。

二、语法规则

语法	解释	内容
type	表示对象，如IP地址、子网或者端口	host、net、port
dir	表示数据包传输方向	src、dst
proto	表示与数据包匹配的协议类型	sther、ip、tcp、arp等

三、包过滤示例

IP地址为192.168.1.1　host 192.168.1.1　ip.addr == 192.168.1.1 等于 ip.addr == IP地址

IP地址为192.168.1.1　　host 192.168.1.1　　ip.addr == IP地址
源IP地址为192.168.1.1　　src host 192.168.1.1　　ip.src == IP地址
目的IP地址为192.168.1.1　　dst host 192.168.1.1　　ip.dst == IP地址
目标端口为80　　dst port 80　

1.所有端口port前可以添加tcp或udp 2.ip.src ip.dst表示方向 3.tcp.port udp.port表示具体的端口 4.and表示连接两者的表达式都需要成立

网络范围　　net 192.168.1.0/24　　ip.src == 192.168.1.0/24

运用反掩码

四、捕获过滤器

• 遵循博伯克利过滤器语法规律

示例

只捕获目标端口为80的TCP数据包　tcp dst port 80
捕获主机IP地址为192.168.1.1的数据包　host 192.168.1.1
对于host不支持CIDR的写法,以及直接主机名的写法

输入框为红色表示错误,绿色表示正确,可与行

CIDR（Classless Inter-Domain Routing，无类域间路由选择）它消除了传统的A类、B类和C类地址以及划分子网的概念，因而可以更加有效地分配IPv4的地址空间。它可以将好几个IP网络结合在一起，使用一种无类别的域际路由选择算法，使它们合并成一条路由从而较少路由表中的路由条目减轻Internet路由器的负担。

五、筛选过滤器

显示过滤器创建

• 输入框创建
• 数据包细节面板创建

表达式规则

• 主题 + 运算符 + 值
• 逻辑关系 与 或 非
  • and or not
  • && || !