IntroducingData***过滤允许您专注于您感兴趣的某些数据集。如您所见,Wireshark默认捕获所有数据包。这可能会阻碍您搜索特定数据。Wireshark提供了两个强大的过滤工??具,可以让您轻松轻松地获得精确的数据。Wireshark可以通过两种方式过滤数据包。它可以通过仅收集某些数据包或在抓取数据包之后进行过滤。当然,这些可以相互结合使用,每个的有用性取决于收集了多少数据和信息。布尔表达式和比较运算符Wireshark有很多很棒的内置过滤器。当您开始在任何筛选字段中输入内容时,您会看到它们自动完成。大多数这些过滤器对应于用户分组数据包的常见方式,例如仅过滤HTTP请求就是一个很好的例子。对于其他人,Wireshark使用布尔表达式和/或比较运算符。如果您曾经做过任何编程,您应该熟悉布尔表达式。他们使用and,or,not来验证语句或表达式的真实性。比较运算符要简单得多,它们只是确定两个或多个事物是否相等、大于或小于彼此。过滤捕获在深入了解自定义捕获过滤器之前,先看看Wireshark已经内置了什么。单击顶部菜单上的“捕获”选项卡,然后单击“选项”。在可用接口下方是您可以编写抓取过滤器的行。直接移动到左侧标有“捕获过滤器”的按钮。单击它,您将看到一个带有内置嗅探过滤器列表的新对话框。看看里面有什么。用于创建捕获过滤器的Wireshark对话框在对话框的底部,有一个用于创建和保存捕获过滤器的表单。按左侧的“新建”按钮。它将创建一个填充有默认数据的新爬网过滤器。要保存新过滤器,只需将原始默认值替换为实际需要的名称和表达式,然后单击确定。过滤器将被保存并应用。使用此工具,您可以编写并保存多个不同的过滤器,以便将来再次使用。Capture有自己的过滤器语法。为了比较,它不使用等号,而是使用>和<来表示大于或小于。对于布尔值,它使用and、or和not。例如,如果您只想监听80端口上的流量,您可以使用这样的表达式:端口80。如果您只想监听来自特定IP的端口80,则可以使用端口80和主机192.168.1.20.如您所见,抓取过滤器具有特定的关键字。这些关键字用于告诉Wireshark如何监控数据包以及查找哪些数据包。例如,主机用于查看来自某个IP的所有流量。src用于查看源自该IP的流量。相反,dst仅侦听发往该IP的流量。要查看一组IP或网络上的流量,请使用net。筛选结果界面底部菜单栏是筛选结果专用的菜单栏。此过滤器不会更改Wireshark收集的数据,它只是让您可以更轻松地对其进行排序。有一个用于输入新过滤器表达式的文本字段,带有一个下拉箭头以查看以前输入的过滤器。旁边是一个标有“表情”的按钮,里面有清除和保存当前表情的按钮。单击“表达式”按钮。您将看到一个带有多个选项的小窗口。左列有大量条目,每个条目都有额外的折叠子列表。您可以使用它们来过滤所有不同的协议、字段和消息。您无法全部阅读,因此最好粗略地阅读一下。您应该已经注意到一些熟悉的选项,例如HTTP、SSL和TCP。用于创建结果过滤器子列表的Wiresharkdailog包含可以过滤的不同部分和请求方法。可以看到通过GET和POST请求过滤了HTTP请求。您还可以在中间看到一个运算符列表。您可以使用此窗口通过从每一列中选择条目来创建过滤器,而不必记住Wireshark可以过滤的每个条目。对于过滤结果,比较运算符使用一组特定的符号。==用于判断是否相等。>用于判断一个事物是否比另一个事物大,<判断它是否比另一个事物小。>=和<=分别用于大于或等于和小于或等于。它们可用于确定数据包是否包含正确的值或按大小进行过滤。使用==只过滤HTTPGET请求的例子如下:http.request.method=="GET"。布尔运算符将基于多个条件的小表达式串在一起。与捕获一词不同,它使用三个基本符号来做到这一点。&&代表“和”。使用时,围绕&&的两个语句都必须为真,以便Wireshark过滤数据包。||意思是“或”。只要两个表达式中的任何一个为真,它就会被过滤。如果你正在寻找所有的GET和POST请求,你可以使用||像这样:(http.request.method=="GET")||(http.request.method=="POST")。!是“非”运算符。它将查找除指定内容以外的所有内容。例如,!http将显示除HTTP请求之外的所有内容。SummaryThoughts过滤Wireshark允许您有效地监控网络流量。熟悉可用选项并习惯用于创建过滤器的强大表达式需要一些时间。然而,一旦你学会了它,你将能够快速收集和找到你想要的网络数据,而无需梳理长数据包或做大量工作。
