“介紹Wireshark抓包時(shí)使用的過(guò)濾規(guī)則。”

熟練使用Wireshark，對(duì)協(xié)議分析大有幫助。本文介紹抓取報(bào)文時(shí)使用的過(guò)濾規(guī)則和對(duì)已有報(bào)文的顯示進(jìn)行控制的顯示規(guī)則。

01

—

過(guò)濾規(guī)則使用

在抓取報(bào)文時(shí)使用的規(guī)則，稱(chēng)為過(guò)濾規(guī)則，Wireshark底層是基于Winpcap，因此過(guò)濾規(guī)則是Winpcap定義的規(guī)則，設(shè)置過(guò)濾規(guī)則后，抓到的報(bào)文僅包含符合規(guī)則的報(bào)文，其它報(bào)文則被丟棄。

Wireshark的過(guò)濾規(guī)則，與Linux下tcpdump的過(guò)濾規(guī)則基本相同，二者可相互參考。

在抓包選項(xiàng)內(nèi)填寫(xiě)過(guò)濾規(guī)則，然后點(diǎn)開(kāi)始即可使用過(guò)濾規(guī)則進(jìn)行抓包。

過(guò)濾規(guī)則與協(xié)議相關(guān)，對(duì)wireshark過(guò)濾規(guī)則，只要了解相應(yīng)協(xié)議（例如UDP、TCP），理解基本語(yǔ)法，都不算復(fù)雜。

當(dāng)前版本的Wireshark已經(jīng)支持了部分簡(jiǎn)單的過(guò)濾規(guī)則，大大地簡(jiǎn)化了使用難度：

僅使用默認(rèn)的規(guī)則進(jìn)行過(guò)濾完全無(wú)法滿(mǎn)足過(guò)濾抓包需要，因此需要更深入地對(duì)過(guò)濾規(guī)則進(jìn)行了解，下一節(jié)進(jìn)行詳細(xì)說(shuō)明。

02

—

過(guò)濾規(guī)則例子

本節(jié)通過(guò)一些例子，來(lái)說(shuō)明其用法。

1、僅抓取80端口的TCP報(bào)文

tcp port 80

這個(gè)規(guī)則是比較通用的僅抓取HTTP協(xié)議的規(guī)則，因?yàn)橥ǔＧ闆r下，HTTP協(xié)議都是走TCP 80端口，這樣設(shè)置抓包，可以滿(mǎn)足大部分場(chǎng)景。

2、抓取80端口和8080端口的TCP報(bào)文

tcp port 80 or tcp port 8080

按第一條規(guī)則，雖然能滿(mǎn)足大部分情況，但大家應(yīng)該了解，HTTP協(xié)議可以設(shè)置走任意端口，如比較通用的8080端口，為更完整地抓包，則抓包規(guī)則中需要加入8080端口，因此我們使用or將tcp port 80和 tcp port 8080兩個(gè)條件連接，則能抓取所有80端口和8080端口的TCP報(bào)文。

除了or，還有and和not可以用在過(guò)濾規(guī)則中。

3、抓取IP為192.168.0.1的80端口的TCP報(bào)文

tcp port 80 and host 192.168.0.1

and 連接符表示兩個(gè)條件必須為真，結(jié)果才為真，符合連接的兩個(gè)條件的報(bào)文才被抓取。

4、抓取除ip為192.168.0.1并且端口為80的報(bào)文外的所有報(bào)文

not (tcp port?80 and host 192.168.0.1)

not連接符表示非，則符合not修飾的規(guī)則的報(bào)文將不被抓取。

()將規(guī)則包含，來(lái)確定規(guī)則的優(yōu)先級(jí)。

5、抓取ip報(bào)文

ether proto 0x0800

以太網(wǎng)頭部有很多種協(xié)議，如果只想抓取一種協(xié)議，如IP協(xié)議，則按這條規(guī)則抓取。ether及proto為固定字段，表示以太頭的proto字段，而0x0800為以太頭部的IP協(xié)議類(lèi)型值。如果要抓取ARP協(xié)議，則將值0x0800改為0x0806即可。

6、抓取IP負(fù)載長(zhǎng)度大于100字節(jié)的報(bào)文

ip[2:2] > 100

[]表示偏移，IP協(xié)議頭部偏移值為2，規(guī)則含義為ip數(shù)據(jù)段內(nèi)偏移2字節(jié)的2字節(jié)內(nèi)容的值大于100，而該內(nèi)容如果熟悉IP協(xié)議的話(huà)，可知其為ip.total_length，對(duì)ether/tcp/udp這些常用協(xié)議，都可采用類(lèi)似方法取值，當(dāng)然，優(yōu)先采用更簡(jiǎn)便的方法。

過(guò)濾規(guī)則適用于在抓包之前就設(shè)置好了條件，已經(jīng)了解需要抓取那些報(bào)文，丟棄哪些報(bào)文的情景，如果需要在抓包之后進(jìn)一步對(duì)報(bào)文進(jìn)行分析，就必須使用顯示規(guī)則，顯示規(guī)則將在后續(xù)文章中介紹，敬請(qǐng)關(guān)注。

如果在過(guò)濾規(guī)則使用上有不懂的地方，可以關(guān)注我進(jìn)行了解，免費(fèi)的。

長(zhǎng)按進(jìn)行關(guān)注。