ARP協議全面實戰手冊1.1.2設定過濾器

ARP協議全面實戰手冊1.1.2設定過濾器

如果使用Wireshark捕獲資料包時，預設捕獲所有協議的資料包。如果接收到的資料包過多時，想要檢視自己想看的資料包，可能非常困難。幸運的是，Wireshark工具可以透過建立過濾器的方式，實現資料包過濾。下面將介紹Wireshark工具的過濾器使用規則。本文選自《ARP協議全面實戰手冊——協議詳解、攻擊與防禦（大學霸）》

在Wireshark工具中提供了兩種過濾器，分別是捕捉過濾器和顯示過濾器。首先來看下這兩種過濾器的區別。

q  捕捉過濾器：用來決定將什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定。

q  顯示過濾器：在捕捉結果中進行詳細查詢。使用者可以在得到捕捉結果後隨意修改。

從概念上來說，兩種過濾器的目的是不同的。捕捉過濾器是資料經過的第一層過濾器，它用於控制捕捉資料的數量，以避免產生過大的日誌檔案。顯示過濾器是一種更為強大（複雜）的過濾器。它允許使用者在日誌檔案中迅速準確地找到所需要的記錄。而且這兩種過濾器使用的語法是完全不同的。

下面分別介紹這兩種過濾器的語法及使用方法。

1.捕捉過濾器

捕捉過濾器的語法格式如下所示：

Protocol  Direction  Host(s)  Value  Logical Operations  Other expression

以上語法中各選項含義如下所示：

q  Protocol（協議）：該選項用來指定協議。可使用的值有ether、fddi、ip、arp、rarp、decnet、lat、sca、moproc、mopdl、tcp、dup。如果沒有特別指明是什麼協議，則預設使用所有支援的協議。

q  Direction（方向）：該選項用來指定來源或目的地，預設使用src or dst作為關鍵字。該選項可使用的值有：src、dst、src and dst、src or dst。

q  Host（s）：指定主機地址。如果沒有指定，預設使用host關鍵字。可能使用的值有net、port、host、portrange。

q  Logical Operations（邏輯運算）：該選項用來指定邏輯運算子。可能使用的值有not、and、or。其中，not（否）具有最高的優先順序；or（或）和and（與）具有相同的優先順序，運算時從左至右進行。

設定捕捉過濾器的步驟如下所示：

（1）在Wireshark主介面的工具欄中依次選擇Capture|Options命令，將顯示如圖1.5所示的介面。

圖1.5  新增過濾條件

在該介面Capture Filter對應的文字框中新增過濾條件，然後單擊Start按鈕，將開始捕獲資料。《ARP協議全面實戰手冊——協議詳解、攻擊與防禦（大學霸）》