Wireshark实例讲解.ppt

Wireshark Filter –﹥Capture Filter﹥Filter Capture Filter 设置Capture filter 步骤: -选择 Capture - Options… 或者使用快捷键Ctrl+K -填写“Capture Filter”栏或者点击“Capture Filter”按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器 -点击开始（Start）进行捕捉。 Capture Filter 语法： 语法： 例子： iax2 dst 3 4569 and src 11 Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。 例如，“host 11”与“src or dst host 11”是一样的。 Host(s): 可能的值： net, port, host, portrange. 如果没有指定此值，则默认使用“host”关键字。 例如，src 11与src host 11相同。 Logical Operations（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。 例，“not tcp port 3128 and tcp port 23”与“(not tcp port 3128) and tcp port 23”相同。 not tcp port 3128 and tcp port 23与not (tcp port 3128 and tcp port 23)不同。 实例： Filter * Wirshark Filter Jerry Zhang June 18, 2010 Protocol Direction Host(s) Other expression Value Logical Operations udp dst port 4569 显示目的UDP端口为4569的封包。 ip src host 显示来源IP地址为的封包。 host 显示目的或来源IP地址为的封包。 src portrange 2000-5000 显示来源为TCP或UDP，并且端口在2000~5000范围内的封包。 not icmp 显示除icmp以外的封包。 src host and not dst net /24 显示来源IP地址为，但目的地址不是/24的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 显示来源IP为2或者来源网络为/16，目的地TCP端口号在200至10000之间，并且目的位于网络/8内的所有封包。 Protocol Value Other expression String1 String2 Comparison Operator Logical Operations ． ． 例子： ftp passive ip == or icmp.type Protocol（协议）:可以使用大量位于OSI模型第2至7层的协议。点击“Expression...”按钮后，您可以看到它们。比如：IP，TCP，UDP，DNS，SSH 语法： 同样可以在以下位置找到所支持的协议 String1，String2（可选项）:以协议的子类。点击相关父类旁的“+”号，然后选择其子类。 Comparison Operators（比较运算符）:可以使用以下几种运算符： Less than or Equal to = le Greater than or Equal to = ge Less Than lt Great