wireshank之显示过滤

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。它本质上是对网络数据流的记录。

认识Wireshank中一些常用的过滤表达式的比较操作符:

Wireshark过滤器表达式的比较操作符

wireshark过滤器表达式的逻辑操作符

做个小实验:

一:实验目的

  1.会使用逻辑关系符号来构造较为复杂的显示过滤语句

  2.掌握常见的包显示过滤语句

  3.能够将过滤后的结果保存成单独的文件进行更为细致的分析

二:实验环境

  无操作系统环境限制

三:实验步骤

  1. 通过本次实验可以掌握以下技能

      配置wireshark进行抓包显示过滤。

      使用更为简洁的方式得到需要的显示语法。

      Wireshark过滤后的数据导出到文件

  2.Wireshank操作

      (1)打开Wireshank软件,然后:Capture-->Interfaces(Ctrl+I)

         出现下图所示对话框

点击“本地链接”然后点击“Start”待到一段时间后按下停止键出现如下图所示,

我们看到,图片中下方显示packets的数目为1800个。如果没有显示过滤的存在,我们只能人为的一条一条去分析,对相同规则的数据表做标记,十分麻烦。所以为了方便找到你想要的信息,这时候好在wireshark为我们提供了显示包过滤这个功能。

  3.有三种过滤的方法:

    我们可以在filter这个输入框中输入我们需要的过滤规则,当您填写的过滤规则没有被wireshark识别时,代表您的输入可能有误,这时候整个输入 框就会显示成醒目的红色,如果您的输入是可以识别的,这时候就会显示成绿色。

    (1)直接在在filter对话框输入

  整个包过滤语法的构成是:(过滤内容(eg:tcp.port)+比较运算符+比较内容)+逻辑运算符+(下一条过滤语句)(说明:关于比较运算符与逻辑运算符分别在预备知识3,4中提及)因此,如果我们要过滤出所有使用tcp协议,端口为80的数据,使用的过滤器语法为:Tcp.port==80

     在filter对话框输入:tcp.port==80     然后按下“Apply”,出现如下图所示:

这时候,显示的就全部是tcp端口为80的数据包了。我们看到,图片中下方显示packets的数目为23个,意思是符合这条过滤语句有23个。

  (2)通过expression键

  对于初学者来说,过滤的表达式记不太清楚,不过不用担心。这时候可以使用expression这个按钮,列出了所有支持的语法。

  例如还是输入:tcp.port==80    

  按下expression键,这时在tcp的二级目录下,同样是按照首字母进行排序,我们会找到tcp.port一栏,选择之后点击中间的relation,选择==,这时候value输入框处于可编辑状态,我们填入需要的80即可。最后按下“OK”键。就可以的到:tcp.port==80

点击回车键,或者右侧的apply,就可以使用过滤功能。

      当您不需要过滤的时候,可以点击clear按钮,这时候,就会显示所有的数据包。

  结果在filter对话框出现:tcp.port==80   有下图

 

  (3)通过查看数据包详情,使用右键添加到过滤语法框,修改并定制成自己的过滤语法

    首先,点击clear按钮,将我们之前的过滤结果清除,显示完整的数据包。选择一条希望在过滤后保留下来的数据包。如图所示

(选择Apply as filter: Selected)

结果有三个符合这条语句

    使用这样的数据包,难度在于需要事先找到一条含有自己想要的过滤信息的数据包。这种方式更加适用,简单易行,而且时间久了,会慢慢的熟悉常见的过滤语句,直到最终直接输入。

  4.将过滤后的数据包保存为最终的数据包分析文件。

  费尽千辛万苦找到了最终需要的数据,可是一旦关机就必须重新操作了。有没有一种方法,可以将过滤后的数据包保存成单独的文件,以”tcp.port==80“为例:

    在filter对话框输入:tcp.port==80     然后按下“Apply”,出现如下图所示:

可以看到有23条我们想要保存的,在菜单选项file中选择export specified packets.出现下图

可以看到:保存的方式有多种。有对所有的数据进行保存(captured),还有仅对过滤后的数据包保存(displayed)。下方的数据显示,在所有 的4481条数据包中,有305条为满足我们过滤条件的数据包。我们需要将他们都保存下来。选择displayed,all packets.输入文件名(以final为例),点击保存。我们看到最终的显示为23条。正是我们要的结果。

  当我们打开final文件时,会发现就是我们刚刚过滤后的数据包。

 

 

关于详细数据包显示过滤的内容,请参考http://www.packetlevel.ch/workshop/drahthai/wireshark-display-filters.pdf

 

 

 

 

 

posted @ 2015-06-19 20:47  小过一天  阅读(262)  评论(0)    收藏  举报