目錄：

一、WireShark界面說(shuō)明：

1、開(kāi)始捕捉界面：

2、捕捉結(jié)果界面：

3、著色規(guī)則：

二、捕捉過(guò)濾器：

1、捕捉過(guò)濾器表達(dá)式：

2、捕捉過(guò)濾器語(yǔ)法：

三、顯示過(guò)濾器：

1、基本過(guò)濾表達(dá)式：

2、復(fù)合過(guò)濾表達(dá)示：

3、常見(jiàn)用顯示過(guò)濾需求及其對(duì)應(yīng)表達(dá)式：

---

WireShark安裝，安裝非常簡(jiǎn)單，處理安裝路徑自定義之外，其他都直接點(diǎn)下一步。

一、WireShark界面說(shuō)明：

1、開(kāi)始捕捉界面：

點(diǎn)擊菜單的“捕獲-選項(xiàng)”，設(shè)置需要捕獲的網(wǎng)絡(luò)適配器，點(diǎn)擊“開(kāi)始”。也可以在菜單“捕獲-開(kāi)始”、“捕獲-結(jié)束”來(lái)控制開(kāi)始結(jié)束。在“捕獲-捕獲過(guò)濾器”編輯捕獲表達(dá)式：

在上述“捕獲”菜單中進(jìn)行的操作，也可以在工具欄進(jìn)行，如下圖：

2、捕捉結(jié)果界面：

1號(hào)窗口展示的是wireshark捕獲到的所有數(shù)據(jù)包的列表。注意最后一列Info列是wireshark組織的說(shuō)明列，并不一定是該數(shù)據(jù)包中的原始內(nèi)容。

2號(hào)窗口是1號(hào)窗口中選定的數(shù)據(jù)包的分協(xié)議層展示。底色為紅色的是因?yàn)閣ireshark開(kāi)啟校驗(yàn)和驗(yàn)證而該層協(xié)議校驗(yàn)和又不正確所致。

3號(hào)窗口是1號(hào)窗口中選定的數(shù)據(jù)包的源數(shù)據(jù)，其中左側(cè)是十六進(jìn)制表示，右側(cè)是ASCII碼表示。另外在2號(hào)窗口中選中某層或某字段，3號(hào)窗口對(duì)應(yīng)位置也會(huì)被高亮。

（1）點(diǎn)擊每一行時(shí)，wireshark很智能的在記錄前用標(biāo)線表明了本次會(huì)話(huà)的記錄范圍[從三次握手到四次揮手]

（2）http請(qǐng)求是“請(qǐng)求->響應(yīng)”式的，需要查看對(duì)應(yīng)請(qǐng)求的響應(yīng)時(shí)，可以在包上右鍵，選擇“追蹤流（Follow TCP Stream）”

（3）被認(rèn)為最難的其實(shí)還是2號(hào)窗口展開(kāi)后的內(nèi)容不懂怎么看，以IP層為例：每一行就對(duì)應(yīng)該層協(xié)議的一個(gè)字段；中括號(hào)行是前一字段的說(shuō)明。冒號(hào)前的英文是協(xié)議字段的名稱(chēng)；冒號(hào)后是該數(shù)據(jù)包中該協(xié)議字段的值。

數(shù)據(jù)包的大致結(jié)構(gòu)：

• 第一行：數(shù)據(jù)包整體概述，
• 第二行：鏈路層詳細(xì)信息，主要的是雙方的mac地址
• 第三行：網(wǎng)絡(luò)層詳細(xì)信息，主要的是雙方的IP地址
• 第四行：傳輸層的詳細(xì)信息，主要的是雙方的端口號(hào)。

（4）tcp數(shù)據(jù)包結(jié)構(gòu)及在wireshark中的位置：

3、著色規(guī)則：

在菜單“視圖-著色規(guī)則”下查看：

?

?

WireShark有兩種過(guò)濾器：捕捉過(guò)濾器（用于決定將什么樣的信息記錄在捕捉結(jié)果中）和 顯示過(guò)濾器（用于在捕捉結(jié)果中進(jìn)行詳細(xì)查找）；兩者的區(qū)別：捕捉過(guò)濾器在抓包前進(jìn)行設(shè)置，決定抓取怎樣的數(shù)據(jù)；顯示過(guò)濾器用于過(guò)濾抓包數(shù)據(jù)，方便stream的追蹤和排查。捕捉過(guò)濾器僅支持協(xié)議過(guò)濾，顯示過(guò)濾器既支持協(xié)議過(guò)濾也支持內(nèi)容過(guò)濾。兩種過(guò)濾器它們支持的過(guò)濾語(yǔ)法并不一樣。

二、捕捉過(guò)濾器：

1、捕捉過(guò)濾器表達(dá)式：

捕捉過(guò)濾器表達(dá)式作用是在wireshark開(kāi)始捕獲數(shù)據(jù)包之前，只捕獲符合條件的數(shù)據(jù)包，不記錄不符合條件的數(shù)據(jù)包。

也可以通過(guò)下面的步驟進(jìn)入捕捉過(guò)濾器進(jìn)行添加或者刪減相應(yīng)的過(guò)濾器：

2、捕捉過(guò)濾器語(yǔ)法：

（1）協(xié)議過(guò)濾語(yǔ)法：

語(yǔ)法：	Protocol	Direction	Host(s)	Value	Logical Operations	Other expression
例子：	tcp	dst	10.1.1.1	80	and	tcp dst 10.2.2.2 3128

示例：

(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕捉IP為10.4.1.12或者源IP位于網(wǎng)絡(luò)10.6.0.0/16，目的IP的TCP端口號(hào)在200至10000之間，并且目的IP位于網(wǎng)絡(luò) 10.0.0.0/8內(nèi)的所有封包。

（2）字段詳解：

Protocol（協(xié)議）:
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒(méi)指明協(xié)議類(lèi)型，則默認(rèn)為捕捉所有支持的協(xié)議。
注：在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的協(xié)議。

Direction（方向）:
可能值: src, dst, src and dst, src or dst
如果沒(méi)指明方向，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。
”host 10.2.2.2″與”src or dst host 10.2.2.2″等價(jià)。

Host(s):
可能值： net, port, host, portrange.
默認(rèn)使用”host”關(guān)鍵字，”src 10.1.1.1″與”src host 10.1.1.1″等價(jià)。

Logical Operations（邏輯運(yùn)算）:
可能值：not, and, or.
否(“not”)具有最高的優(yōu)先級(jí)?；?“or”)和與(“and”)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。
“not tcp port 3128 and tcp port 23″與”(not tcp port 3128) and tcp port 23″等價(jià)。
“not tcp port 3128 and tcp port 23″與”not (tcp port 3128 and tcp port 23)”不等價(jià)。

?

三、顯示過(guò)濾器：

顯示過(guò)濾器作用在wireshark捕獲數(shù)據(jù)包之后，依據(jù)顯示過(guò)濾器表達(dá)式，對(duì)捕捉到的數(shù)據(jù)包依據(jù)協(xié)議或包的內(nèi)容進(jìn)行過(guò)濾，從已捕獲的所有數(shù)據(jù)包中顯示出符合條件的數(shù)據(jù)包，隱藏不符合條件的數(shù)據(jù)包。

顯示過(guò)濾表達(dá)示在工具欄下方的“顯示過(guò)濾器”輸入框輸入即可生效

1、基本過(guò)濾表達(dá)式：

一條基本的表達(dá)式由過(guò)濾項(xiàng)、過(guò)濾關(guān)系、過(guò)濾值三項(xiàng)組成。

比如ip.addr == 192.168.1.1，這條表達(dá)式中ip.addr是過(guò)濾項(xiàng)、==是過(guò)濾關(guān)系，192.168.1.1是過(guò)濾值（整條表達(dá)示的意思是找出所有ip協(xié)議中源或目標(biāo)ip、等于、192.168.1.1的數(shù)據(jù)包）

（1）過(guò)濾項(xiàng)：

wireshark的過(guò)濾項(xiàng)是“協(xié)議“+”.“+”協(xié)議字段”的模式。以端口為例，端口出現(xiàn)于tcp協(xié)議中所以有端口這個(gè)過(guò)濾項(xiàng)且其寫(xiě)法就是tcp.port。推廣到其他協(xié)議，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他協(xié)議都是這么個(gè)書(shū)寫(xiě)思路。

當(dāng)然wireshark出于縮減長(zhǎng)度的原因，有些字段沒(méi)有使用協(xié)議規(guī)定的名稱(chēng)而是使用簡(jiǎn)寫(xiě)（比如Destination Port在wireshark中寫(xiě)為dstport），又出于簡(jiǎn)便使用增加了一些協(xié)議中沒(méi)有的字段（比如TCP協(xié)議只有源端口和目標(biāo)端口字段，為了簡(jiǎn)便使用，wireshark增加了tcp.port字段來(lái)同時(shí)代表這兩個(gè)）。

（2）過(guò)濾關(guān)系：

過(guò)濾關(guān)系就是大于、小于、等于等幾種等式關(guān)系。注意其中有“English”和“C-like”兩個(gè)字段，這個(gè)意思是說(shuō)“English”和“C-like”這兩種寫(xiě)法在wireshark中是等價(jià)的、都是可用的。

（3）過(guò)濾值：

過(guò)濾值就是設(shè)定的過(guò)濾項(xiàng)應(yīng)該滿(mǎn)足過(guò)濾關(guān)系的標(biāo)準(zhǔn)，比如500、5000、50000等等。過(guò)濾值的寫(xiě)法一般已經(jīng)被過(guò)濾項(xiàng)和過(guò)濾關(guān)系設(shè)定好了，只是填下自己的期望值就可以了。

2、復(fù)合過(guò)濾表達(dá)示：

所謂復(fù)合過(guò)濾表達(dá)示，就是指由多條基本過(guò)濾表達(dá)式組合而成的表達(dá)示?；具^(guò)濾表達(dá)式的寫(xiě)法還是不變的，復(fù)合過(guò)濾表達(dá)示多出來(lái)的東西就只是基本過(guò)濾表達(dá)示的“連接詞”：

3、常見(jiàn)用顯示過(guò)濾需求及其對(duì)應(yīng)表達(dá)式：

（1）數(shù)據(jù)鏈路層：

篩選mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

篩選源mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26

（2）網(wǎng)絡(luò)層：

篩選ip地址為192.168.1.1的數(shù)據(jù)包----ip.addr == 192.168.1.1

篩選192.168.1.0網(wǎng)段的數(shù)據(jù)---- ip contains "192.168.1"

篩選192.168.1.1和192.168.1.2之間的數(shù)據(jù)包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

篩選從192.168.1.1到192.168.1.2的數(shù)據(jù)包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

（3）傳輸層：

篩選tcp協(xié)議的數(shù)據(jù)包----tcp

篩選除tcp協(xié)議以外的數(shù)據(jù)包----!tcp

篩選端口為80的數(shù)據(jù)包----tcp.port == 80

篩選12345端口和80端口之間的數(shù)據(jù)包----tcp.port == 12345 && tcp.port == 80

篩選從12345端口到80端口的數(shù)據(jù)包----tcp.srcport == 12345 && tcp.dstport == 80

（4）應(yīng)用層：

特別說(shuō)明----http中http.request表示請(qǐng)求頭中的第一行（如GET index.jsp HTTP/1.1），http.response表示響應(yīng)頭中的第一行（如HTTP/1.1 200 OK），其他頭部都用http.header_name形式。

篩選url中包含.php的http數(shù)據(jù)包----http.request.uri contains ".php"

篩選內(nèi)容包含username的http數(shù)據(jù)包----http contains "username"

顯示post請(qǐng)求方式的http封包---http.request.method== "POST"

顯示請(qǐng)求的域名為tracker.1ting.com的http封包---http.host == "tracker.1ting.com"

?

?

參考博客：

https://blog.csdn.net/cumirror/article/details/7054496

https://www.cnblogs.com/lsdb/p/9254544.html

https://blog.csdn.net/qq_30682027/article/details/83021901

總結(jié)

以上是生活随笔為你收集整理的Wireshark介绍 与 过滤器表达式语法的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。