2024年6月11日发(作者:)

实验1.4 Wireshark显示过滤器的使用

【实验目的】

•掌握Wireshark显示过滤器用法

【实验过程】

显示过滤器作用于捕获的数据包集合,用来指示Wireshark显示符合过滤条件的数据包。

大家可以在Packet List面板上方的Filter文本框中编辑输入一个显示过滤器。

例如要过滤掉Packet List中所有的ARP数据包(ARP数据实在太多了!),把光标移动到

Filter文本框中,然后输入!arp,就可以在Packet List面板中隐藏所有的ARP数据包了。

又例如要定位ID为0X4fed的IP数据包,可以使用如图C-8所示的 == 0X4fed的过

滤器

可以在Filter文本框中编辑显示过滤器。

显示过滤器的构造语法中有比较操作符、逻辑操作符和搜索操作符等。比较操作符可以

让大家进行值的比较。而逻辑操作符可以使用多个过滤条件。Wireshark也提供了搜索和匹

配操作符。

过滤器表达式的比较操作符:

操作符

==

说明

等于

例子

==1

!=

>

<

>=

<=

不等于

大于

小于

大于或等于

小于或等于

!= 80

>192.168.1.5

<2454

>=1500

<=2333

过滤器表达式的逻辑操作符:

操作符

And, &&

or, ||

not, !

说明

两个条件同时满足

其中一个条件被满足

没有条件被满足

例子

==192.168.1.5 and ==80

==192.168.1.5 or ==192.168.1.4

not arp

过滤器表达式的搜索和匹配操作符:

操作符

contains

matches, ~

说明

包含某个值

匹配某个值

例子

http contains ""

matches ""

了解显示过滤器的操作符以后,大家就可以开始构造自己的过滤器了。TCP/IP协议中能

够用来构造显示过滤器的最重要两种元素是协议名称和协议头部字段的名称。协议名称例如

http、ip、tcp等。协议头部的字段,例如、等。总结了常用的几种显示

过滤器。

常用的显示过滤器:

例子

==1

==1

not arp

ftp

==21 or ==23

smtp or pop or smtp

说明

具有syn标志位的数据段

具有rst标志位的数据段

排除arp流量

ftp流量

telnet或ftp流量

Email流量

在显示过滤器构造过程中,在编辑过滤器表达式字符串的时候一定要注意Wireshark的

用户提示。如果用户输入的显示过滤器语法正确,输入框背景会变为绿色。对于错误的显

示过滤器表达式,输入框背景将会显示红色。