選中捕獲選項
後,就會彈出下面這個框,在紅色輸入框中就可以編寫過濾規則。
1)捕獲單個IP位址
2)捕獲IP位址範圍
3)捕獲廣播或多點傳播位址
4)捕獲MAC位址
5)捕獲所有端口号
6)捕獲特定ICMP資料
當網絡中出現性能或安全問題時,将會看到ICMP(網際網路控制消息協定)。
在這種情況下,使用者必須使用一個偏移量表示一個ICMP中字段的位置。
偏移量0表示ICMP字段類型,偏移量1表示ICMP位置代碼字段。
顯示過濾器文法如下:
1)協定過濾器
2)應用過濾器
3)字段存在過濾器
字段名還有很多,可以在狀态欄中找到對應的字段名:
4)特有過濾器
5)顯示單個IP位址或主機
6)顯示位址範圍
7)顯示一個子網IP
斜杠和數字分别定義IP位址的網絡部分和掩碼位數。
子網路遮罩通過與IP位址做與操作,進而分離出 IP 位址中的網絡部分與主機部分。
8)過濾單一TCP/UDP會話
tcp.stream eq 會話序号,在傳輸層資料中可以看到會話序号。
9)使用關鍵字
1. frame contains "string"搜尋,在幀中搜尋一個關鍵字
2. 字段名搜尋,例如前面提到的http.request.method contains "get"
3. 搜尋關鍵字時不區分大小寫,上面那個搜尋将搜不出結果,因為字段内容其實是“GET”大寫的,修改http.request.method matches "(?i)(get)"
4. 搜尋多個關鍵字,http.request.method matches "(?i)(get|post)"
5. 使用通配符,也就是正規表達式
10)時間過濾器
在實體層資料幀中有三個時間:
1. 距離上一個捕獲的包的時間間隔
2. 從上次顯示的包開始計時,距離上一個顯示的包的時間間隔
3. 距離第一個捕獲包的時間間隔,預設第一個資料幀的時間為0.000000
frame.time_delta 過濾的是第一種時間
在Packet List面闆中預設加了Time列,表示的是第三種時間。
11)基于TCP的時間過濾
tcp.time_delta的計算與上一個類似,隻是字段包含在TCP頭部,如果要檢視必須啟用Calculate conversation timestamps選項。
選擇Edit | Preference | Protocols | TCP:
在傳輸層資料段中多了兩個表示時間的字段:
tcp.time_delta過濾的是第二種時間。
參考資料:
<a href="http://download.csdn.net/download/loneleaf1/9730490" target="_blank">Wireshark網絡分析的藝術</a>
<a href="http://download.csdn.net/download/loneleaf1/9730491" target="_blank">Wireshark資料包分析實戰詳解</a>
<a href="http://www.6san.com/496/" target="_blank">wireshark中的時間格式</a>
本文轉自 咖啡機(K.F.J) 部落格園部落格,原文連結:http://www.cnblogs.com/strick/p/6261915.html,如需轉載請自行聯系原作者