Wireshark過濾器使用規則介紹

以前學習Wireshark，看到wireshark簡明教程裏有關過濾器的介紹，特別是新手不明白捕捉過濾器和顯示過濾器的區別與做用。這篇文章感受寫的挺好，解答了個人疑惑，畢竟看英文也是挺吃力的並且本身理解意思也不太明確。特意轉來，順便加了點料，特來分享。

使用Wireshark時最多見的問題，是當您使用默認設置時，會獲得大量冗餘信息，以致於很難找到本身須要的部分。
這就是爲何過濾器會如此重要。它們能夠幫助咱們在龐雜的結果中迅速找到咱們須要的信息。

過濾器的區別

捕捉過濾器（CaptureFilters）：用於決定將什麼樣的信息記錄在捕捉結果中。須要在開始捕捉前設置。
顯示過濾器（DisplayFilters）：在捕捉結果中進行詳細查找。他們能夠在獲得捕捉結果後隨意修改。
那麼我應該使用哪種過濾器呢？

兩種過濾器的目的是不一樣的。
捕捉過濾器是數據通過的第一層過濾器，它用於控制捕捉數據的數量，以免產生過大的日誌文件。
顯示過濾器是一種更爲強大（複雜）的過濾器。它容許您在日誌文件中迅速準確地找到所須要的記錄。

兩種過濾器使用的語法是徹底不一樣的。
若是過濾器的語法是正確的，表達式的背景呈綠色。若是呈紅色，說明表達式有誤。

捕捉過濾器

語法：	Protocol	Direction	Host(s)	Value	Logical Operations	Other expression
例子：	tcp	dst	10.1.1.1	80	and	tcp dst 10.2.2.2 3128

Protocol（協議）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
若是沒有特別指明是什麼協議，則默認使用全部支持的協議。

Direction（方向）:
可能的值: src, dst, src and dst, src or dst
若是沒有特別指明來源或目的地，則默認使用 「src or dst」 做爲關鍵字。
例如，」host 10.2.2.2″與」src or dst host 10.2.2.2″是同樣的。

Host(s):
可能的值： net, port, host, portrange.
若是沒有指定此值，則默認使用」host」關鍵字。
例如，」src 10.1.1.1″與」src host 10.1.1.1″相同。

Logical Operations（邏輯運算）:
可能的值：not, and, or.
否(「not」)具備最高的優先級。或(「or」)和與(「and」)具備相同的優先級，運算時從左至右進行。
例如，
「not tcp port 3128 and tcp port 23″與」(not tcp port 3128) and tcp port 23″相同。
「not tcp port 3128 and tcp port 23″與」not (tcp port 3128 and tcp port 23)」不一樣。

例子：

顯示目的TCP端口爲3128的封包                :    tcp dst port 3128

顯示來源IP地址爲10.1.1.1的封包。            :    ip src host 10.1.1.1

顯示目的或來源IP地址爲10.1.2.3的封包。    :    host 10.1.2.3

顯示來源爲UDP或TCP，而且端口號在2000至2500範圍內的封包。    :    src portrange 2000-2500

顯示除了icmp之外的全部封包。（icmp一般被ping工具使用）         :    not imcp

顯示來源IP地址爲10.7.2.12，但目的地不是10.200.0.0/16的封包   
 :    src 10.7.2.12 and not dst net 10.200.0.0/16   

顯示來源IP爲10.4.1.12或者來源網絡爲10.6.0.0/16，
目的地TCP端口號在200至10000之間，而且目的位於網絡 10.0.0.0/8內的全部封包。
:    (src 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP地址爲10.1.1.1的封包。
:    src net 192.168.0.0/24
:    src net 192.168.0.0 mask 255.255.255.0

注意事項：

當使用關鍵字做爲值時，需使用反斜槓「\」。
「ether proto \ip」 (與關鍵字」ip」相同).
這樣寫將會以IP協議做爲目標。

「ip proto \icmp」 (與關鍵字」icmp」相同).
這樣寫將會以ping工具經常使用的icmp做爲目標。

能夠在」ip」或」ether」後面使用」multicast」及」broadcast」關鍵字。
當您想排除廣播請求時，」no broadcast」就會很是有用。

Protocol（協議）:
您可使用大量位於OSI模型第2至7層的協議。點擊」Expression…」按鈕後，您能夠看到它們。
好比：IP，TCP，DNS，SSH

String1, String2 (可選項):
協議的子類。
點擊相關父類旁的」+」號，而後選擇其子類。

Comparison operators （比較運算符）:
可使用6種比較運算符：

英文寫法：	C語言寫法：	含義：
eq	==	等於
ne	!=	不等於
gt	>	大於
lt	<	小於
ge	>=	大於等於
le	<=	小於等於

Logical expressions（邏輯運算符）:

英文寫法：	C語言寫法：	含義：
and	&&	邏輯與
or	||	邏輯或
xor	^^	邏輯異或
not	!	邏輯非

顯示過濾器

語法：	Protocol	.	String 1	.	String 2	Comparison operator	Value	Logical Operations	Other expression
例子：	ftp		passive		ip	==	10.2.3.4	xor	icmp.type

例子：
顯示SNMP或DNS或ICMP封包。
:    snmp || dns || icmp

顯示來源或目的IP地址爲10.1.1.1的封包。
:    ip.addr==10.1.1.1

顯示來源不爲10.1.2.3或者目的不爲10.4.5.6的封包。
:    ip.src!=10.1.2.3 or ip.dst!=10.4.5.6

顯示來源或目的TCP端口號爲25的封包。
:    tcp.port==25

顯示目的TCP端口號爲25的封包。
:    tcp.dstport==25

顯示包含TCP標誌的封包。
:    tcp.flags

顯示包含TCP SYN標誌的封包。
:    tcpflags.syn

*********************************************************

                ******局域網查看本身的公網ip方法******

********************************************************* 

C:\Users\jacey>tracert www.baidu.com
經過最多 30 個躍點跟蹤
到 www.a.shifen.com [115.239.210.26] 的路由:    
  1     1 ms     1 ms    <1 毫秒 192.168.1.1        --局域網網關地址
  2   110 ms     2 ms    40 ms  115.***.***.1      --公網ip
  3     1 ms     1 ms     1 ms  61.164.4.101
  4     2 ms     1 ms     1 ms  61.164.19.149
  5     1 ms     1 ms     1 ms  220.191.142.49
  6    11 ms    10 ms     2 ms  115.239.209.22
  7     *        *        *     請求超時。
  8     *        2 ms     *     10.231.213.2
  9     2 ms     2 ms     2 ms  115.239.210.26
跟蹤完成。