Wireshark之什么是捕获过滤器
这篇文章主要讲解了“Wireshark之什么是捕获过滤器”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“Wireshark之什么是捕获过滤器”吧!
01简介
首先了解下,为什么需要捕获过滤器。举个例子,在一台服务器(TCPsever,端口5005)上,一个客户端(其他家公司设备)运行几天,就会突然掉线。这时候,说不清是服务器把客户端踢下线,还是客户端主动离线。
当然,这个时候在服务器添加日志记录即可,就可以找“真凶”。如果是对方设备主动离线,对方又不配合时,对方“不相信你的日志”。这个时候,使用wireshark抓包,找出对方设备(TCPClient)先发出的FIN断开连接的证据,然后“甩”他脸上即可。
其实上述场景,我在《我是如何使用wireshark软件的》文中也提到过解决方案,使用显示过滤加定时保存的策略,不过这样在几天的抓包中,会导致抓包文件很大。而捕获过滤则可以解决这个问题。
捕获过滤使用方法
1.选择捕获->捕获过滤器,然后编辑一个新的捕获过滤器选项:名称为“port5005”(名字根据自己的需求即可),过滤器为“port5005”。
2.在开始界面选择网卡,然后点击②处,选择上一步新建的输入捕获条件即可。
3.开始捕获
选择完输入捕获条件,如下图,直接双击网卡,就开始捕获了。
02BPF语法
捕获过滤器应用于WinPcap,并使用BerkeleyPacketFilter(BPF)语法。这个语法被广泛用于多种数据包嗅探软件,主要因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPcap库。掌握BPF语法对你在数据包层级更深入地探索网络来说,非常关键。
使用BPF语法创建的过滤器被称为表达式,并且表达式包含一个或多个原语。每个原语包含一个或多个限定词,然后跟着一个ID名字或者数字,如:
BPF语法也是支持下列逻辑运算符的,从而创造更高级的表达式。
鸿蒙官方战略合作共建——HarmonyOS技术社区
连接运算符 与 (&&)
选择运算符 或 (||)
否定运算符 非 (!)
举例说明:
class="lazy" data-src 192.168.0.10 && port 5005上述表达式只对源地址是192.168.0.10和源端口或目标端口是5005的流量进行捕获。
03过滤示例
常用的过滤示例
注意灵活使用上文提到的逻辑运算符。
感谢各位的阅读,以上就是“Wireshark之什么是捕获过滤器”的内容了,经过本文的学习后,相信大家对Wireshark之什么是捕获过滤器这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是编程网,小编将为大家推送更多相关知识点的文章,欢迎关注!
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
