《LINUX入門：在 Wireshark 中過濾數(shù)據(jù)包》要點(diǎn)：
本文介紹了LINUX入門：在 Wireshark 中過濾數(shù)據(jù)包，希望對您有用。如果有疑問，可以聯(lián)系我們。

介紹

數(shù)據(jù)包過濾可讓你專注于你感興趣的確定數(shù)據(jù)集.如你所見,Wireshark 默認(rèn)會(huì)抓取所有數(shù)據(jù)包.這可能會(huì)妨礙你尋找具體的數(shù)據(jù). Wireshark 提供了兩個(gè)功能強(qiáng)年夜的過濾工??具,讓你簡單而無痛地獲得精確的數(shù)據(jù).

Wireshark 可以通過兩種方式過濾數(shù)據(jù)包.它可以通過只收集某些數(shù)據(jù)包來過濾,或者在抓取數(shù)據(jù)包后進(jìn)行過濾.當(dāng)然,這些可以彼此結(jié)合使用,而且它們各自的用處取決于收集的數(shù)據(jù)和信息的多少.

?

布爾表達(dá)式和比較運(yùn)算符

Wireshark 有很多很棒的內(nèi)置過濾器.當(dāng)開始輸入任何一個(gè)過濾器字段時(shí),你將看到它們會(huì)自動(dòng)補(bǔ)完.這些過濾器大多數(shù)對應(yīng)于用戶對數(shù)據(jù)包的常見分組方式,比如僅過濾 HTTP 哀求就是一個(gè)很好的例子.

對于其他的,Wireshark 使用布爾表達(dá)式和/或比擬運(yùn)算符.如果你曾經(jīng)做過任何編程,你應(yīng)該熟悉布爾表達(dá)式.他們是使用 and、or、not 來驗(yàn)證聲明或表達(dá)式的真假.比擬運(yùn)算符要簡單得多,它們只是確定兩件或更多件事情是否彼此相等、大于或小于.

?

過濾抓包

在深入自定義抓包過濾器之前,請先查看 Wireshark 已經(jīng)內(nèi)置的內(nèi)容.單擊頂部菜單上的 “Capture” 選項(xiàng)卡,然后點(diǎn)擊 “Options”.可用接口下面是可以編寫抓包過濾器的行.直接移到左邊一個(gè)標(biāo)有 “Capture Filter” 的按鈕上.點(diǎn)擊它,你將看到一個(gè)新的對話框,其中包括內(nèi)置的抓包過濾器列表.看看里面有些什么.

Wireshark dialog for creating a capture filter

在對話框的底部,有一個(gè)用于創(chuàng)建并保留抓包過濾器的表單.按左邊的 “New” 按鈕.它將創(chuàng)建一個(gè)填充有默認(rèn)數(shù)據(jù)的新的抓包過濾器.要保留新的過濾器,只需將實(shí)際需要的名稱和表達(dá)式替換原來的默認(rèn)值,然后單擊“Ok”.過濾器將被保留并應(yīng)用.使用此工具,你可以編寫并保留多個(gè)不同的過濾器,以便它們將來可以再次使用.

抓包有本身的過濾語法.對于比較,它不使用等于號,并使用 > 和 < 來用于大于或小于.對于布爾值來說,它使用 and、or 和 not.

例如,如果你只想監(jiān)聽 80 端口的流量,你可以使用這樣的表達(dá)式：port 80.如果你只想從特定的 IP 監(jiān)聽端口 80,你可以使用 port 80 and host 192.168.1.20.如你所見,抓包過濾器有特定的關(guān)鍵字.這些關(guān)鍵字用于奉告 Wireshark 如何監(jiān)控?cái)?shù)據(jù)包以及哪一個(gè)數(shù)據(jù)是要找的.例如,host 用于查看來自 IP 的所有流量.src 用于查看源自該 IP 的流量.與之相反,dst 只監(jiān)聽目標(biāo)到這個(gè) IP 的流量.要查看一組 IP 或網(wǎng)絡(luò)上的流量,請使用 net.

?

過濾結(jié)果

界面的底部菜單欄是專門用于過濾結(jié)果的菜單欄.此過濾器不會(huì)更改 Wireshark 收集的數(shù)據(jù),它只允許你更輕松地對其進(jìn)行排序.有一個(gè)文本字段用于輸入新的過濾器表達(dá)式,并帶有一個(gè)下拉箭頭以查看以前輸入的過濾器.旁邊是一個(gè)標(biāo)為 “Expression” 的按鈕,另外還有一些用于清除和保留當(dāng)前表達(dá)式的按鈕.

點(diǎn)擊 “Expression” 按鈕.你將看到一個(gè)小窗口,其中包括多個(gè)選項(xiàng).左邊一欄有大量的條目,每個(gè)都有附加的折疊子列表.你可以用這些來過濾所有不同的協(xié)議、字段和信息.你不可能看完所有,所以最好是大概看下.你應(yīng)該注意到了一些熟悉的選項(xiàng),如 HTTP、SSL 和 TCP.

Wireshark dailog for creating a results filter

子列表包含可以過濾的不同部分和哀求方法.你可以看到通過 GET 和 POST 哀求過濾 HTTP 哀求.

你還可以在中間看到運(yùn)算符列表.通過從每列中選擇條目,你可以使用此窗口創(chuàng)建過濾器,而不用記住 Wireshark 可以過濾的每個(gè)條目.對于過濾結(jié)果,比較運(yùn)算符使用一組特定的符號. == 用于確定是否相等.> 用于確定一件東西是否大于另一個(gè)東西,< 找出是否小一些. >= 和 <= 分別用于大于等于和小于等于.它們可用于確定數(shù)據(jù)包是否包含正確的值或按大小過濾.使用 == 僅過濾 HTTP GET 哀求的示例如下：http.request.method == "GET".

布爾運(yùn)算符基于多個(gè)條件將小的表達(dá)式串到一起.不像是抓包所使用的單詞,它使用三個(gè)基本的符號來做到這一點(diǎn).&& 代表 “與”.當(dāng)使用時(shí),&& 兩邊的兩個(gè)語句都必須為真值才行,以便 Wireshark 來過濾這些包.|| 表示 “或”.只要兩個(gè)表達(dá)式任何一個(gè)為真值,它就會(huì)被過濾.如果你正在查找所有的 GET 和 POST 哀求,你可以這樣使用 ||：(http.request.method == "GET") || (http.request.method == "POST").! 是 “非” 運(yùn)算符.它會(huì)尋找除了指定的東西之外的所有東西.例如,!http 將展示除了 HTTP 哀求之外的所有東西.

?

總結(jié)思考

過濾 Wireshark 可以讓你有效監(jiān)控網(wǎng)絡(luò)流量.熟悉可以使用的選項(xiàng)并習(xí)慣你可以創(chuàng)建過濾器的強(qiáng)大表達(dá)式必要一些時(shí)間.然而一旦你學(xué)會(huì)了,你將能夠快速收集和查找你要的網(wǎng)絡(luò)數(shù)據(jù),而無需梳理長長的數(shù)據(jù)包或進(jìn)行大量的工作.

Ubuntu 13.10 安裝 Wireshark?

網(wǎng)絡(luò)抓包對象Wireshark的簡單使用

Ubuntu 12.04 下安裝Wireshark

Linux中從通俗用戶啟動(dòng)Wireshark抓包

Linux下安裝和運(yùn)行Wireshark

via: https://linuxconfig.org/filtering-packets-in-wireshark-on-kali-linux

作者：Nick Congleton 譯者：geekpi 校對：wxy

本文由 LCTT 原創(chuàng)編譯,Linux中國 榮譽(yù)推出

本文永遠(yuǎn)更新鏈接地址：

歡迎參與《LINUX入門：在 Wireshark 中過濾數(shù)據(jù)包》討論，分享您的想法，維易PHP學(xué)院為您提供專業(yè)教程。

轉(zhuǎn)載請注明本頁網(wǎng)址：
http://www.snjht.com/jiaocheng/9021.html