Wireshark网络抓包(二)——过滤器
一、捕获过滤器
选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。
1)捕获单个IP地址
2)捕获IP地址范围
3)捕获广播或多播地址
4)捕获MAC地址
5)捕获所有端口号
6)捕获特定ICMP数据
当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。
在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置。
偏移量0表示ICMP字段类型,偏移量1表示ICMP位置代码字段。
二、显示过滤器
显示过滤器语法如下:
1)协议过滤器
2)应用过滤器
3)字段存在过滤器
字段名还有很多,可以在状态栏中找到对应的字段名:
4)特有过滤器
5)显示单个IP地址或主机
6)显示地址范围
7)显示一个子网IP
以CIDR(无类型域间选路)格式使用ip.addr字段名定义一个子网过滤器。
斜杠和数字分别定义IP地址的网络部分和掩码位数。
子网掩码通过与IP地址做与操作,从而分离出 IP 地址中的网络部分与主机部分。
8)过滤单一TCP/UDP会话
tcp.stream eq 会话序号,在传输层数据中可以看到会话序号。
9)使用关键字
1. frame contains "string"搜索,在帧中搜索一个关键字
2. 字段名搜索,例如前面提到的http.request.method contains "get"
3. 搜索关键字时不区分大小写,上面那个搜索将搜不出结果,因为字段内容其实是“GET”大写的,修改http.request.method matches "(?i)(get)"
4. 搜索多个关键字,http.request.method matches "(?i)(get|post)"
5. 使用通配符,也就是正则表达式
10)时间过滤器
在物理层数据帧中有三个时间:
1. 距离上一个捕获的包的时间间隔
2. 从上次显示的包开始计时,距离上一个显示的包的时间间隔
3. 距离第一个捕获包的时间间隔,默认第一个数据帧的时间为0.000000
frame.time_delta 过滤的是第一种时间
在Packet List面板中默认加了Time列,表示的是第三种时间。
11)基于TCP的时间过滤
tcp.time_delta的计算与上一个类似,只是字段包含在TCP头部,如果要查看必须启用Calculate conversation timestamps选项。
选择Edit | Preference | Protocols | TCP:
在传输层数据段中多了两个表示时间的字段:
tcp.time_delta过滤的是第二种时间。
参考资料:
相关文章
- 三维形体的表面积
- 阿里资深工程师教你门面模式
- 【反复横跳】从AC5到AC6的转型之路(2)——“两面包夹芝士”的堆栈模型
- 一首让计算机崩溃的歌曲!
- 国外是怎么学习计算机的?
- 胖虎总结的测开面试题(面试官视角)
- 作为测试面试官,我如何筛选候选人—CKL
- 阿里二面:RocketMQ 集群 Broker 挂了,会造成什么影响?
- 被迫毕业,面试 30 家公司,终于上岸了!
- 面试官:使用 RocketMQ 怎么进行灰度发布?
- Java变强之路——面向对象篇
- IC面试:你很优秀,但是对不起
- ggplot2分面图形自定义添加回归曲线R值
- 房企数字化面临的转型路径与挑战
- MySQL 全表扫描成本计算
- 基于 yolov5n6 和tkinker实现的检测模型的可视化界面
- 计算2的N次方
- 面试题13. 机器人的运动范围
- 动态开点线段树说明
- LFU 的设计与实现