對(duì)于我們個(gè)人用戶，顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用于單機(jī)環(huán)境流量不大的情況。對(duì)于***者而言，往往不知道需要什么樣的數(shù)據(jù)包，只能在抓包審計(jì)之后再確定，因而也通常選用顯示過濾器。

專業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來客戶和效益!創(chuàng)新互聯(lián)為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計(jì)制作，服務(wù)好的網(wǎng)站設(shè)計(jì)公司，成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、外貿(mào)營銷網(wǎng)站建設(shè)負(fù)責(zé)任的成都網(wǎng)站制作公司!

當(dāng)停止捕獲數(shù)據(jù)之后，在數(shù)據(jù)包列表上面的過濾框中輸入過濾表達(dá)式，就可以只顯示我們需要的數(shù)據(jù)包。比如輸入表達(dá)式“http”，就只顯示采用http協(xié)議的數(shù)據(jù)包，點(diǎn)擊過濾框右側(cè)的×，可以去掉過濾規(guī)則，重新顯示所有數(shù)據(jù)包。

（1）語法規(guī)則

顯示過濾器的語法規(guī)則：

在顯示過濾器所采用的過濾表達(dá)式中，經(jīng)常要用到各種比較運(yùn)算符，主要有：

比較運(yùn)算符	說明
==	等于
!=	不等于
>	大于
<	小于
>=	大于等于
<=	小于等于

應(yīng)用示例：

ip.addr == 192.168.0.1 //篩選出含有IP地址192.168.0.1的包 ip.src == 192.168.0.1 //篩選出源地址為192.168.0.1的包 ip.dst == 192.168.0.1 //篩選出目的地址為192.168.0.1的包 frame.len<=128 //只顯示長度小于128字節(jié)的包 tcp.port == 80 //只顯示含有80端口的包 tcp.dstport == 25 //只顯示目的TCP端口號(hào)為25的包 tcp.port > 1024 //只顯示端口號(hào)大于1024的包

顯示過濾器中的邏輯運(yùn)算符：

邏輯運(yùn)算	邏輯運(yùn)算符
與	and、&&
或	or、||
非	!、not

應(yīng)用示例：

http //只顯示采用http協(xié)議的包 http or arp //只顯示采用http或arp協(xié)議的包 snmp || DNS || icmp //顯示采用SNMP或DNS或ICMP協(xié)議的包 not arp //不顯示采用arp協(xié)議的包 !tcp //不顯示采用tcp協(xié)議的包 !(ip.addr == 192.168.0.1) //排除含有IP地址192.168.0.1的包

注意，如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，則說明表達(dá)式有誤。

（2）自動(dòng)添加過濾表達(dá)式

有些過濾表達(dá)式的寫法是比較復(fù)雜的，下面介紹一種相對(duì)簡單的方法，可以自動(dòng)添加過濾表達(dá)式。

首先清除之前的過濾結(jié)果，顯示完整的數(shù)據(jù)包。

然后選擇一條我們希望在過濾后能保留下來的數(shù)據(jù)包，比如要過濾出所有HTTP協(xié)議中以POST方式發(fā)送的數(shù)據(jù)包，我們先手動(dòng)找到這樣的一個(gè)數(shù)據(jù)包，比如在第3個(gè)包的Info中出現(xiàn)了POST信息。

選定3號(hào)包，查看該數(shù)據(jù)包的詳細(xì)信息。在應(yīng)用層Hypertext Transfer Protocol中的POST部分再次展開后可以看到Request Method:POST。

在Request Method:POST上點(diǎn)擊右鍵，選擇“作為過濾器應(yīng)用/選中”。

此時(shí)就可以發(fā)現(xiàn)，過濾器中已經(jīng)填寫上了對(duì)應(yīng)的過濾規(guī)則。同時(shí)顯示也變成了對(duì)應(yīng)的過濾規(guī)則下的數(shù)據(jù)包。

如果我們想要找方法為GET的包，直接將POST改成GET即可。

使用這種方式，難度在于需要事先找到一條含有自己想要的過濾信息的數(shù)據(jù)包。相比較而言這種方式更加適于初學(xué)者，簡單易行，而且時(shí)間久了，會(huì)慢慢的熟悉常見的過濾語句，直到最終直接輸入。

（3）保存過濾后的數(shù)據(jù)包

我們可以將過濾后的數(shù)據(jù)包保存下來以備以后隨時(shí)使用，比如我們要保存http.request.method == "POST"的數(shù)據(jù)包，在文件菜單中選擇“導(dǎo)出特定分組”。

選擇之后，可以看到保存的方式有多種。可以保存所有的數(shù)據(jù)包(Captured)，也可以只保存過濾后的數(shù)據(jù)包(Displayed)。下方的數(shù)據(jù)顯示，在所有的344條數(shù)據(jù)包中，有62條為滿足我們過濾條件的數(shù)據(jù)包。一般情況下都是選擇Displayed。

當(dāng)前名稱：Wireshark系列之5顯示過濾器
本文地址：http://www.chinadenli.net/article2/pgcooc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供虛擬主機(jī)、手機(jī)網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)