Wireshark有两种过滤数据包的方式,分别称为显示过滤器(Display Filter)与捕获过滤器(Capture Filter)
显示过滤器
在使用Wireshark进行网卡抓包时,如果想要过滤掉指定IP的数据包,可以通过在Wireshark的过滤器(Filter)输入框中输入相应的过滤规则来实现。
具体的步骤如下:
- 打开Wireshark软件,确保已经安装并正确配置。
- 选择要抓包的网卡,并开始捕获数据包。Wireshark会自动捕获网络上的数据包,并以列表的形式展示出来。
- 在Wireshark的顶部菜单栏中,找到过滤器输入框(通常标记为“Filter”或类似的字样)。
- 输入过滤IP的规则。例如,如果想要过滤掉源IP或目的IP为特定IP(如192.168.1.1)的数据包,可以输入以下规则:
!ip.src==192.168.1.1:只过滤掉源IP为192.168.1.1的数据包。!ip.dst==192.168.1.1:只过滤掉目的IP为192.168.1.1的数据包。!(ip.src==192.168.1.1 or ip.dst==192.168.1.1):同时过滤掉源IP或目的IP为192.168.1.1的数据包。
注意,在规则前加上“!”表示否定,即过滤掉符合该规则的数据包。
- 输入过滤规则后,按下回车键或点击过滤器输入框旁边的应用按钮,Wireshark将应用该过滤规则,并只显示符合过滤条件的数据包。
通过这样设置,Wireshark在抓包过程中就会过滤掉指定IP的数据包,使得分析过程更加聚焦和高效,同时显示过滤器的语法种类更多,可以更为方便和灵活过滤出需要的数据
捕获过滤器
捕获过滤器实际上在数据包的捕获阶段就进行了过滤,从而只捕获满足特定条件的数据包。这有助于减少捕获的数据量,节省存储空间和处理时间。
要在Wireshark中设置捕获过滤器,请按照以下步骤操作:
-
打开Wireshark软件。
-
在选择网卡进行抓包之前,找到捕获选项或设置。这通常可以通过点击界面上的某个捕获按钮或菜单项来访问。
-
在捕获设置或选项中,你应该能找到一个用于输入捕获过滤器的字段。
-
输入你的捕获过滤规则。对于IP过滤,你可以使用类似
host <IP地址>的格式来捕获与特定IP相关的所有数据包(包括源IP和目标IP为该地址的数据包)。如果你想过滤掉特定IP的数据包,你可能需要结合使用多个条件和逻辑运算符。例如,要排除特定IP地址192.168.1.1的数据包,你可以使用较复杂的BPF(Berkeley Packet Filter)语法,但通常显示过滤器更适合这种情况,因为捕获过滤器可能不支持复杂的逻辑排除。 -
应用捕获过滤器并开始捕获。
请注意,捕获过滤器的语法和功能与显示过滤器不同,它使用的是BPF(Berkeley Packet Filter)语法。
以下是一些基本的BPF语法示例,用于过滤指定IP地址的数据包:
- 过滤掉源IP为特定地址的数据包:
|
|
not src host <IP地址> |
- 过滤掉目的IP为特定地址的数据包:
|
|
not dst host <IP地址> |
- 同时过滤掉源IP或目的IP为特定地址的数据包:
|
|
not (src host <IP地址> or dst host <IP地址>) |
在上面的示例中,<IP地址>应该被替换为你想要过滤的实际IP地址。src和dst关键字分别表示数据包的源IP地址和目的IP地址。host关键字用于指定一个IP地址。not关键字用于排除匹配该规则的数据包。
请注意,BPF语法是大小写敏感的,因此确保你正确地使用了关键字和操作符。
在Wireshark中设置捕获过滤器时,只需在捕获设置或选项中的捕获过滤器字段中输入上述规则即可。然后,开始捕获时,Wireshark将只捕获那些不满足该过滤规则的数据包。
另外,在linux上使用的抓包软件tcpdump,使用的也是BPF语法,因此可以很方便的将tcpdump使用的过滤规则套用到wireshark里面。
