ARP協議全面實戰手冊1.1.2設置過濾器

ARP協議全面實戰手冊1.1.2設置過濾器

若是使用Wireshark捕獲數據包時,默認捕獲全部協議的數據包。若是接收到的數據包過多時,想要查看本身想看的數據包,可能很是困難。幸運的是,Wireshark工具能夠經過建立過濾器的方式,實現數據包過濾。下面將介紹Wireshark工具的過濾器使用規則。本文選自《ARP協議全面實戰手冊——協議詳解、攻擊與防護》express

Wireshark工具中提供了兩種過濾器,分別是捕捉過濾器和顯示過濾器。首先來看下這兩種過濾器的區別。tcp

q  捕捉過濾器:用來決定將什麼樣的信息記錄在捕捉結果中。須要在開始捕捉前設置。工具

q  顯示過濾器:在捕捉結果中進行詳細查找。用戶能夠在獲得捕捉結果後隨意修改。spa

從概念上來講,兩種過濾器的目的是不一樣的。捕捉過濾器是數據通過的第一層過濾器,它用於控制捕捉數據的數量,以免產生過大的日誌文件。顯示過濾器是一種更爲強大(複雜)的過濾器。它容許用戶在日誌文件中迅速準確地找到所須要的記錄。並且這兩種過濾器使用的語法是徹底不一樣的。日誌

下面分別介紹這兩種過濾器的語法及使用方法。orm

1.捕捉過濾器ip

捕捉過濾器的語法格式以下所示:字符串

Protocol  Direction  Host(s)  Value  Logical Operations  Other expressionit

以上語法中各選項含義以下所示:io

q  Protocol(協議):該選項用來指定協議。可以使用的值有etherfddiiparprarpdecnetlatscamoprocmopdltcpdup。若是沒有特別指明是什麼協議,則默認使用全部支持的協議。本文選自《ARP協議全面實戰手冊——協議詳解、攻擊與防護》

q  Direction(方向):該選項用來指定來源或目的地,默認使用src or dst做爲關鍵字。該選項可以使用的值有:srcdstsrc and dstsrc or dst

q  Hosts):指定主機地址。若是沒有指定,默認使用host關鍵字。可能使用的值有netporthostportrange

q  Logical Operations(邏輯運算):該選項用來指定邏輯運算符。可能使用的值有notandor。其中,not(否)具備最高的優先級;or(或)和and(與)具備相同的優先級,運算時從左至右進行。

設置捕捉過濾器的步驟以下所示:

1)在Wireshark主界面的工具欄中依次選擇Capture|Options命令,將顯示如圖1.5所示的界面。

1.5  添加過濾條件

在該界面Capture Filter對應的文本框中添加過濾條件,而後單擊Start按鈕,將開始捕獲數據。

【實例1-3】如今要抓取目的或來源地址爲192.168.5.9的封包。在圖1.5中添加以下所示的條件:

tcp dst port 3128

添加後單擊Start按鈕,將顯示如圖1.6所示的界面。

1.6  地址爲192.168.5.9的封包

從該界面能夠看到,捕獲到的全部數據包都是來源或目的地址爲192.168.5.9的數據包。

注意:當使用關鍵字做爲值時,需使用反斜槓「\」。如ether proto \ ip(與關鍵字ip相同),這樣將會以IP協議做爲目標。也能夠在ip後面使用multicastbroadcast關鍵字。當用戶想排除廣播請求時,no broadcast就很是有用。

在圖1.5中只能添加Wireshark默認定義好的捕捉過濾器。若是用戶指定的捕捉過濾器不存在的話,能夠手動添加。在Wireshark工具欄中依次單擊Capture|Capture Filters命令,將顯示如圖1.7所示的界面。

1.7  Capture Filter

從該界面能夠看到該工具默認定義的捕捉過濾器。若是要新建捕捉過濾器,在該界面單擊「新建」按鈕,默認的過濾器名稱和過濾字符串都爲new,如圖1.7所示。此時用戶能夠修改默認的名稱,而後單擊「肯定」按鈕。本文選自《ARP協議全面實戰手冊——協議詳解、攻擊與防護》

相關文章
相關標籤/搜索