捕捉过滤器（CaptureFilters）和显示过滤器（DisplayFilters）--Wireshark

Wireshark的基本使用——过滤器

前言

网络上关于Wireshark的教程已有不少，博主就简单介绍一下Wireshark分析数据包时最重要的技巧之一的过滤器。。一次性嗅探到的数据包有很多，想要高效地提取出你想要的数据包或者对某个数据包中某个字段值的分析等，必不可少的就是过滤。过滤器分为捕捉过滤器（CaptureFilters）和显示过滤器（DisplayFilters）。

回到目录

捕捉过滤器

用于决定将什么样的信息记录在捕捉结果中，需要在开始捕捉前设置。

语法

Protocol	Direction	Host(s)	Value	Logical Operations	Other Expression
tcp	dst	10.1.1.1	80	and	tcp dst 10.1.1.2 3289

• Protocol（协议）

  可能的值: ether, fddi, ip, arp, rarp, decnet, tcp and udp等。如果没有特别指明是什么协议，则默认使用所有支持的协议

• Direction（方向）

  可能的值: src, dst, src and dst, src or dst。如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字
  比如：”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的

• Host(s)

  可能的值： net, port, host, portrange。如果没有指定此值，则默认使用”host”关键字

  比如："src 10.1.1.1"与”src host 10.1.1.1″相同

• Logical Operations（逻辑运算）

  可能的值：not, and, or

  否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行。
  例如，
  "not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
  "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

捕获过滤器例子

显示目的TCP端口为3128的封包

tcp dst port 3128

显示来源IP地址为10.1.1.1的封包

ip src host 10.1.1.1

显示目的或来源IP地址为10.1.2.3的封包

host 10.1.2.3

显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包

src portrange 2000-2500

显示除了icmp以外的所有封包

not icmp

显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示源IP为10.4.1.12或源网络为10.6.0.0/16，目的TCP 端口号在200至10000之间，并且目的位于网络 10.0.0.0/8内所有封包

(src host 10.4.1.12 or scr net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕获广播流量

broadcast

回到目录

显示过滤器

在捕捉的结果中进行详细查找时使用，可以在得到捕捉结果后随意修改显示过滤器表达式。

语法

Protocol	.	String1	.	String2	Comparison Operator	Value	Logical Operations	Other Expression
ftp	.	passive	.	ip	==	10.1.1.1	xor	icmp.type

• Protocol(协议)

  位于OSI模型第2至7层的协议，如：IP、TCP、DNS等

• String1,String2（可选项）

  协议的子类

• Comparison Operator（比较运算符）

  可以使用6种比较运算符

  英文写法	C语言写法	含义
  eq	==	等于
  ne	!=	不等于
  gt	>	大于
  lt	<	小于
  ge	>=	大于等于
  le	<=	小于等于

• Logical Operations（逻辑运算符）

  英文写法	C语言写法	含义
  and	&&	逻辑与
  or	||	逻辑或
  xor	^^	逻辑异或
  not	!	逻辑非

  逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上

  例如："tcp.dstport 80 xor tcp.dstport 1025"

  只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的数据包才会被显示

显示过滤器例子

显示SNMP或DNS或ICMP封包

snmp || dns || icmp

显示来源或目的IP地址为10.1.1.1的封包

ip.addr == 10.1.1.1

显示来源不为10.1.2.3或目的不为10.4.5.6的包

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源或目的TCP端口号为25的封包

tcp.port == 25

显示目的TCP端口号为25的封包

tcp.dstport == 25

显示包含TCP标志的封包

tcp.flags

显示包含TCP SYN标志的封包

tcp.flags.syn == 1

排除arp流量

!arp

文本管理流量（telnet或ftp）

tcp.port == 23 || tcp.port == 21

回到目录

两种过滤器的区别

可以看出这两种过滤器在使用和功能上有着区别：

• 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。而显示过滤器是在对捕获结果进行筛选时使用，允许我们在日志文件中迅速准确地找到所需要的记录。
• 捕捉过滤器必须在捕捉数据包之前设置，若是捕捉的数据包不是我们想要的，需要重新设置捕捉过滤器并重新捕捉数据包。显示过滤器的功能比捕捉过滤器更为强大，可以重复设置表达式对捕获的结果重复筛选而不需要重新捕获数据包。

回到目录

跟踪TCP流

处理TCP协议时，想查看TCP流中的应用层数据，"Following TCP streams"功能将会很有用。
如查看ftp流的命令控制或者数据控制信息。或者仅仅只需要一个显示过滤来显示某个TCP流的包。这些都可以通过Wireshark的"Following TCP streams"功能来实现。 
Follow Tcp Stream会装入一个过滤来选择你已经选择的TCP流的所有包。

小结

对于Wireshark的使用推荐：

• 官网的用户手册：https://www.wireshark.org/docs/wsug_html_chunked/
• github上的一站式学习 Wireshark 中文全教程：https://github.com/justjavac/free-programming-books-zh_CN/issues/233

参考：https://openmaniak.com/cn/wireshark_filters.php

多实践多分析~