資源描述:
《wireshark過(guò)濾器使用規(guī)則介紹》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)�����。
1����、Wireshark過(guò)濾器使用規(guī)則介紹之前學(xué)習(xí)Wireshark,看到wireshark簡(jiǎn)明教程里有關(guān)過(guò)濾器的介紹�,特別是新手不明白捕捉過(guò)濾器和顯示過(guò)濾器的區(qū)別與作用。這篇文章感覺(jué)寫(xiě)的挺好����,解答了我的疑惑,畢竟看英文也是挺吃力的而且自己理解意思也不太明確。特地轉(zhuǎn)來(lái)����,順便加了點(diǎn)料,特來(lái)分享�����。使用Wireshark時(shí)最常見(jiàn)的問(wèn)題�����,是當(dāng)您使用默認(rèn)設(shè)置時(shí)���,會(huì)得到大量冗余信息�,以至于很難找到自己需要的部分����。這就是為什么過(guò)濾器會(huì)如此重要�。它們可以幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們需要的信息。過(guò)濾器的區(qū)別捕捉過(guò)濾器(CaptureFi
2�、lters):用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開(kāi)始捕捉前設(shè)置��。顯示過(guò)濾器(DisplayFilters):在捕捉結(jié)果中進(jìn)行詳細(xì)查找����。他們可以在得到捕捉結(jié)果后隨意修改���。那么我應(yīng)該使用哪一種過(guò)濾器呢??jī)煞N過(guò)濾器的目的是不同的����。捕捉過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器,它用于控制捕捉數(shù)據(jù)的數(shù)量�,以避免產(chǎn)生過(guò)大的日志文件。顯示過(guò)濾器是一種更為強(qiáng)大(復(fù)雜)的過(guò)濾器��。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄�。兩種過(guò)濾器使用的語(yǔ)法是完全不同的。捕捉過(guò)濾器語(yǔ)法:ProtocolDirectionHost(s)ValueL
3�、ogicalOperationsOtherexpression例子:tcpdst10.1.1.180andtcpdst10.2.2.23128Protocol(協(xié)議):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒(méi)有特別指明是什么協(xié)議,則默認(rèn)使用所有支持的協(xié)議��。Direction(方向):可能的值:src,dst,srcanddst,srcordst如果沒(méi)有特別指明來(lái)源或目的地���,則默認(rèn)使用“srcordst”作為關(guān)鍵字�����。例如���,”h
4�、ost10.2.2.2″與”srcordsthost10.2.2.2″是一樣的��。Host(s):可能的值:net,port,host,portrange.如果沒(méi)有指定此值����,則默認(rèn)使用”host”關(guān)鍵字。例如�����,”src10.1.1.1″與”srchost10.1.1.1″相同����。LogicalOperations(邏輯運(yùn)算):可能的值:not,and,or.否(“not”)具有最高的優(yōu)先級(jí)?��;?“or”)和與(“and”)具有相同的優(yōu)先級(jí),運(yùn)算時(shí)從左至右進(jìn)行����。例如,“nottcpport3128andtcpport23″與
5、”(nottcpport3128)andtcpport23″相同���?����!皀ottcpport3128andtcpport23″與”not(tcpport3128andtcpport23)”不同�����。例子:tcpdstport3128顯示目的TCP端口為3128的封包����。ipsrchost10.1.1.1顯示來(lái)源IP地址為10.1.1.1的封包�。host10.1.2.3顯示目的或來(lái)源IP地址為10.1.2.3的封包。srcportrange2000-2500顯示來(lái)源為UDP或TCP�����,并且端口號(hào)在2000至2500范圍內(nèi)的封包�。no
6、timcp顯示除了icmp以外的所有封包��。(icmp通常被ping工具使用)srchost10.7.2.12andnotdstnet10.200.0.0/16顯示來(lái)源IP地址為10.7.2.12�,但目的地不是10.200.0.0/16的封包����。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8顯示來(lái)源IP為10.4.1.12或者來(lái)源網(wǎng)絡(luò)為10.6.0.0/16�,目的地TCP端口號(hào)在200至10000之間,并
7�、且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。srcnet192.168.0.0/24srcnet192.168.0.0mask255.255.255.0顯示來(lái)源IP地址為10.1.1.1的封包�。注意事項(xiàng):當(dāng)使用關(guān)鍵字作為值時(shí),需使用反斜杠“”����。“etherprotoip”(與關(guān)鍵字”ip”相同).這樣寫(xiě)將會(huì)以IP協(xié)議作為目標(biāo)����。“ipprotoicmp”(與關(guān)鍵字”icmp”相同).這樣寫(xiě)將會(huì)以ping工具常用的icmp作為目標(biāo)����。可以在”ip”或”ether”后面使用”multicast”及”broadcast
8�����、”關(guān)鍵字����。當(dāng)您想排除廣播請(qǐng)求時(shí),”nobroadcast”就會(huì)非常有用��。Protocol(協(xié)議):您可以使用大量位于OSI模型第2至7層的協(xié)議��。點(diǎn)擊”Expression…”按鈕后��,您可以看到它們���。比如:IP��,TCP�,DNS�,SSHString1,String2(可選項(xiàng)):協(xié)議的子類。點(diǎn)擊相關(guān)父類旁的”+”號(hào)�,然后選擇其子類。Co
