本篇我们基于第一篇教程,接着介绍wireshark过滤规则的写法,本篇详细介绍针对端口和协议的过滤表达的用法。
工具/原料
wireshark软件
windows系列电脑一台
方法/步骤
1、首先我们在抓到包的情况下。在Filter处填写表达式:tcp.porteq80。表示获得tcp协议且端口为80的数据包(包含来源端口以及目的端口)。
2、在Filter处填写表达式:tcp.porteq80orudp.porteq514。表示获得tcp协议且端口为80,udp协议且端口为514的数据包。
3、在Filter处填写表达式:tcp.srcporteq80。表示获得tcp协议且来源端口为80的数据包。相应的查看udp协议的表达式为:udp.srcporteq+端口号。
4、在Filter处填写表达式:tcp.dstporteq80。表示获得tcp协议秤郓鹜媲且目的端口为80的数据包。相应的查看udp协议的表达式类似为:udp.dstporteq+端口号。
5、同样在Filter处支持输焯拜芪恨入端口范围进行过滤。本篇命令为tcp.port>1andtcp.port<80。表示为:得到tcp协议的端口范围为大于1小于80的数据包。
6、Filter处支持输入协议来过滤。支持的协议包辖艮鲔鸣括:tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq斤舻浑趸、bootp等等。本篇我们在Filter处输入表达式:dns。表示查询协议为dns的数据包。
7、在Filter处输入表达式:dnsorhttp。表示获取协议为dns或者http的数据包。
8、如果我们想查看除了某个协议以外的其他协议的数据包。则表达式为!+协议名称或者not+协议名称。本篇我们执行过滤表达式为:!tcp。表示得到非tcp协议的数据包。
