关于wireshark的两个基本语法
关于wireshark的两个基本语法
1. Capture Filters
语法:<Protocol name><Direction><Host(s)><Value><Logical operations><Expressions>
例子:
- tcp src port 443 ——只抓取来源端口是443的tcp数据
- not arp ——不获取arp数据
- port 80 ——获取端口是80的数据,不指定代表全部都获取
- src 192.168.1.121 and port 233 ——获取来源ip为192.168.1.121端口是233的数据
怎么看待<Logical operations>
<Protocol name><Direction><Host(s)><Value>称为一个组或者表达式<Expressions><Logical operations>是链接多个表达式<Expressions1><Logical operations><Expressions2><Logical operations><Expressions3>……
<Protocol name><Direction><Host(s)><Value><Logical operations>- protocol可选值:ether, fddi, ip, arp, rarp, decnet, lat, tcp。默认为全部协议- direction可选值:src, dst, src and dst, src or dst。默认为src or dst- host(s)可选值:net, port, host, portrange。默认为host,如src 110.119.112.114等价于src host 110.119.112.114- Logical可选值:not, and, or; 运算优先级:否("not")具有最高的优先级,或("or")和与("and")具有相同的优先级; 运算顺序:从左至右2. Display Filters
语法:<protocol>.<string1>.<string2>.<comparison operator><value> <Logical operators> <expressions>
例子:
- tcp.port==80 ——展示端口是80的tcp数据
- !arp ——不展示ARP协议的数据
- ip.addr==192.168.1.111 ——只显示地址是有192.168.1.111的数据,不论是来源还是目标地址
- (ip.dst==42.156.152.144) && !(ip.dst==42.156.152.144)
时间: 2024-10-17 17:32:16