“?介紹Wireshark對已有報文的顯示進行控制的顯示規則。”

之前對Wireshark抓包時使用的過濾規則進行了介紹，本文介紹對已有報文的顯示進行控制的顯示規則。掌握了顯示規則，你使用Wireshark的動作都會炫起來。

點擊回顧：過濾規則

01

—

顯示規則使用

在Wireshark界面對已經抓取的報文在界面的顯示進行控制的規則，稱為顯示規則，顯示規則只是讓一部分不符合規則的報文不被顯示，但未被丟棄，這些報文仍然存在在Wireshark的系統內。

顯示規則相對過濾規則要簡單得多，在使用界面直接輸入或者選擇規則即可。

顯示規則是對抓取后的報文再次進行刷選，顯示規則基本不需要學習，因為Wireshark已經給了足夠多的提示，只需簡單的進行輸入和使用鼠標即可。

顯示規則也有部分默認規則，與過濾規則相同。

這些規則遠遠無法滿足分析協議的需要，我們需要的是在輸入框內輸入顯示規則，進行顯示過濾。

在顯示規則輸入框內進行輸入，wireshark會進行提示，使用戶能夠選擇相應的規則名稱進行條件的設置，如果輸入錯誤或者不完整，則輸入框內會顯示紅色，當完整了，則顯示綠色。

在一個大項屬性下，如果需要進行步進行規則的細化，使用“.”即可繼續提示規則。

這簡化了顯示規則的大量操作。

雖然顯示規則很簡單，但了解一些例子，更有助于使用，下一節將舉例介紹。

顯示規則的使用，依賴于Wireshark已經將對報文所屬協議識別和解析的程度，如果無法滿足分析需要，則應使用更進階的方法進行過濾，下一節也將舉例介紹。

02

—

顯示規則例子

本節使用一些例子，來說明顯示規則的用法。

1、僅顯示源端口為443的TCP報文

tcp.srcport == 443

其中的==可使用eq來代替。在客戶端側，這抓取的是SSL協議的所有上行報文。如果上下行報文都需要，則將srcport改為port即可，相應地，還有dstport可以使用。

2、顯示ssl報文和域名為www.baidu.com的http報文

ssl or http.host eq www.baidu.com

使用or進行規則的連結，表示滿足一個條件即可。

與過濾規則相同，同樣支持and以及not連結符，同樣，也支持()進行優先級的設定。

3、顯示包含“baidu”字符串的ssl報文

ssl contains "baidu"

使用contains 可進行字符串的過濾，contains對字符串的過濾很有效，但前提是位置屬性要選擇正確 。

4、顯示所有數據體前兩個字節為1a1c的報文

data.data[0:2]==1a:1c

這條規則，則是一種進階使用方法，深入到報文的二進制層內，對所有的Wireshark初步解析后帶data的內容的數據前兩個字節的值進行過濾。0:2表示從0位置開始的2個字節長度的數據，當然，可以以任意需要的位置開始，任意長度的數據。

顯示規則能夠大大提高協議分析的效率，如果在使用上有不懂的地方，可以關注我進行咨詢，免費的噢。

長按進行關注。