轉(zhuǎn)載請(qǐng)注明原文地址：https://blog.csdn.net/superhcq/article/details/79886527

過(guò)濾器的使用

使用菜單欄View->Filters打開(kāi)過(guò)濾器界面，如下圖所示：

系統(tǒng)默認(rèn)已經(jīng)創(chuàng)建了一系列過(guò)濾器，可以直接在抓包中設(shè)置過(guò)濾。
創(chuàng)建一個(gè)抓包器，設(shè)置好網(wǎng)卡和通道后，開(kāi)啟抓包，一段時(shí)間后停止抓包。在Packages界面使用工具欄中的過(guò)濾器圖標(biāo)選擇過(guò)濾條件，如下圖所示：

例如：選擇Wireless->802.11 Beacons， 生效后就會(huì)將802.11 Beacons的包過(guò)濾出來(lái)。再次點(diǎn)選All Aackages后顯示全部的數(shù)據(jù)包。
注意：這種使用過(guò)濾器的方法，只能停止抓包后選在過(guò)濾。
當(dāng)我們希望只抓取過(guò)濾條件的數(shù)據(jù)包做分析時(shí)，可以在創(chuàng)建抓包器時(shí)設(shè)置過(guò)濾條件，如下圖所示：

在抓包前，勾選過(guò)濾條件。開(kāi)啟抓包后，只顯示過(guò)濾后的數(shù)據(jù)包。
這種方式有個(gè)弊端：過(guò)濾條件之外的數(shù)據(jù)包全部無(wú)法查看。當(dāng)我們想要分析特定數(shù)據(jù)包時(shí)可以通過(guò)這種方式，避免All Packages太多，造成分析困難。
在停止抓包后，可以通過(guò)根據(jù)某一數(shù)據(jù)包的屬性來(lái)過(guò)濾出目標(biāo)報(bào)文。操作步驟：
選中數(shù)據(jù)包-> 右鍵選擇Selete Related Packages -> 選在過(guò)濾條件（過(guò)濾條件中可以通過(guò)源地址、目標(biāo)地址、協(xié)議、端口號(hào)等方式）-> 選擇結(jié)果顯示方式，如下圖所示：

可以直接在當(dāng)前界面高亮顯示過(guò)濾出的包，也可以通過(guò)選擇Copy selected packages to new window來(lái)打開(kāi)一個(gè)新的窗口顯示過(guò)濾后的結(jié)果，以供分析。這個(gè)功能非常實(shí)用。

設(shè)置過(guò)濾條件

在系統(tǒng)過(guò)濾器列表中，選中一個(gè)過(guò)濾器，雙擊打開(kāi)，會(huì)進(jìn)入編輯界面，如下圖所示：

手動(dòng)添加過(guò)濾器：
簡(jiǎn)單過(guò)濾器可以通過(guò)地址、協(xié)議和端口三種方式配置過(guò)濾條件。可以切換到高級(jí)設(shè)置界面，如下圖所示：

在高級(jí)模式下可以對(duì)已有的過(guò)濾條件進(jìn)行操作，增加、刪除過(guò)濾條件，可以設(shè)置過(guò)個(gè)條件（串行、并行）。這樣更助于數(shù)據(jù)分析。
可以在Filter界面插入、刪除等操作。點(diǎn)擊Insert圖標(biāo)，進(jìn)入過(guò)濾器創(chuàng)建界面。通過(guò)簡(jiǎn)單模式設(shè)置數(shù)據(jù)包的MAC、端口號(hào)、通信協(xié)議來(lái)過(guò)濾，基本可以達(dá)到要求。
根據(jù)特定數(shù)據(jù)包來(lái)創(chuàng)建過(guò)濾器：
選擇特定數(shù)據(jù)包，在數(shù)據(jù)包報(bào)文解析中找到作為過(guò)濾調(diào)節(jié)的條目，右鍵選擇Make Filter，會(huì)自動(dòng)進(jìn)入過(guò)濾器創(chuàng)建界面。后面步驟同上。

空口抓包

正常模式下直接抓取某一信道的數(shù)據(jù)包，是無(wú)法看到明文數(shù)據(jù)的，只能顯示加密后的數(shù)據(jù)。當(dāng)我們需要針對(duì)某一問(wèn)題抓取所有的802.11數(shù)據(jù)包時(shí)，可以簡(jiǎn)單將路由器設(shè)置成open模式，這樣就可以顯示明文數(shù)據(jù)了。當(dāng)然也可以抓取報(bào)文后再進(jìn)行解包，操作起來(lái)較復(fù)雜。

總結(jié)

以上是生活随笔為你收集整理的Omnipeek空口抓包(3)：过滤器的设置和使用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。