在网络中,我们通常不需要捕获所有的数据包,我们经常只需要捕获到我们想要的数据包就可以了,如:我们只需要捕获tcp包或者arp包等。
当我们只需要捕获tcp包时,在选择网络连接(网卡)之后,先不要选择开始,而是选择选项,然后再弹出窗口中的捕捉过滤器栏中输入tcp即可,这样我们wireshark就只会捕获tcp类型的数据包了。
你也可以使用wireshark内置的过滤规则来限制捕获数据包,只需要点击捕捉过滤器,然后再弹出的窗口中,选择相应的规则即可。我们也可以自己创建新的规则到内置规则中,这样下次我们还需要进行类似的操作时就不用再手动书写规则,而直接可以在内置规则中选择即可。
选择或书写好规则后,只需要单击开始按钮即可对相应的数据包进行捕获。
捕获过滤规则采用带通滤波器语法,所以要灵活使用过滤器,则掌握带通滤波器语法是关键。使用带通滤波器语法创建的过滤器被称为表达式,并且每个表达式包含一个或多个原语,每个原语包含一个或多个限定词,然后后面再跟着一个ID名字或者数字,如:dst主机192.168.1.1,,tcp端口80。
这个例子的意思是捕获发往目标主机ip地址为192.168.1.1的80端口的tcp流量数据包。
dst、主机、tcp和端口是限定词,192.168.1.1和80是ID,,,是操作符,,,之前部分是为一个原语,即:dst主机192.168.1.1,,,之后部分为另一个原语,即:tcp端口80。
限定词包括:
<强>限定词 <强>说明 <强>例子强类型指出名字或数字所代表的意义主机,网络,portDir指明传输方向是前往还是来自名字或数字src, dstProto限定所要匹配的协议醚、ip、tcp、udp、http、ftp、icmp等我们还可以对协议域进行捕获过滤,如表达式icmp [0]==8 | | icmp[0]==0表示我们只捕获回音请求(类型8)和echo回复(类型0)的icmp数据包。
常用捕获过滤器:
<>强过滤器 <强>说明 tcp[13], 32==32设置了位开始的tcp数据包tcp SYN-ACK数据包醚主机00:00:00:00:00:00 (MAC地址)流入或流出该MAC地址的流量广播仅广播流量icmpICMP流量tcmp [0:2]==0 x0301icmp目标不可达,主机不可达知识产权仅IPv4流量ip6仅IPv6流量udp仅udp流量 
