溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
對于我們個人用戶,顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用于單機環境流量不大的情況。對于***者而言,往往不知道需要什么樣的數據包,只能在抓包審計之后再確定,因而也通常選用顯示過濾器。
當停止捕獲數據之后,在數據包列表上面的過濾框中輸入過濾表達式,就可以只顯示我們需要的數據包。比如輸入表達式“http”,就只顯示采用http協議的數據包,點擊過濾框右側的×,可以去掉過濾規則,重新顯示所有數據包。
(1)語法規則
顯示過濾器的語法規則:
在顯示過濾器所采用的過濾表達式中,經常要用到各種比較運算符,主要有:
比較運算符 | 說明 |
== | 等于 |
!= | 不等于 |
> | 大于 |
< | 小于 |
>= | 大于等于 |
<= | 小于等于 |
應用示例:
ip.addr == 192.168.0.1 //篩選出含有IP地址192.168.0.1的包 ip.src == 192.168.0.1 //篩選出源地址為192.168.0.1的包 ip.dst == 192.168.0.1 //篩選出目的地址為192.168.0.1的包 frame.len<=128 //只顯示長度小于128字節的包 tcp.port == 80 //只顯示含有80端口的包 tcp.dstport == 25 //只顯示目的TCP端口號為25的包 tcp.port > 1024 //只顯示端口號大于1024的包 |
顯示過濾器中的邏輯運算符:
邏輯運算 | 邏輯運算符 |
與 | and、&& |
或 | or、|| |
非 | !、not |
應用示例:
http //只顯示采用http協議的包 http or arp //只顯示采用http或arp協議的包 snmp || dns || icmp //顯示采用SNMP或DNS或ICMP協議的包 not arp //不顯示采用arp協議的包 !tcp //不顯示采用tcp協議的包 !(ip.addr == 192.168.0.1) //排除含有IP地址192.168.0.1的包 |
注意,如果過濾器的語法是正確的,表達式的背景呈綠色。如果呈紅色,則說明表達式有誤。
(2)自動添加過濾表達式
有些過濾表達式的寫法是比較復雜的,下面介紹一種相對簡單的方法,可以自動添加過濾表達式。
首先清除之前的過濾結果,顯示完整的數據包。
然后選擇一條我們希望在過濾后能保留下來的數據包,比如要過濾出所有HTTP協議中以POST方式發送的數據包,我們先手動找到這樣的一個數據包,比如在第3個包的Info中出現了POST信息。
選定3號包,查看該數據包的詳細信息。在應用層Hypertext Transfer Protocol中的POST部分再次展開后可以看到Request Method:POST。
在Request Method:POST上點擊右鍵,選擇“作為過濾器應用/選中”。
此時就可以發現,過濾器中已經填寫上了對應的過濾規則。同時顯示也變成了對應的過濾規則下的數據包。
如果我們想要找方法為GET的包,直接將POST改成GET即可。
使用這種方式,難度在于需要事先找到一條含有自己想要的過濾信息的數據包。相比較而言這種方式更加適于初學者,簡單易行,而且時間久了,會慢慢的熟悉常見的過濾語句,直到最終直接輸入。
(3)保存過濾后的數據包
我們可以將過濾后的數據包保存下來以備以后隨時使用,比如我們要保存http.request.method == "POST"的數據包,在文件菜單中選擇“導出特定分組”。
選擇之后,可以看到保存的方式有多種。可以保存所有的數據包(Captured),也可以只保存過濾后的數據包(Displayed)。下方的數據顯示,在所有的344條數據包中,有62條為滿足我們過濾條件的數據包。一般情況下都是選擇Displayed。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
