王经理 139-1125-4478 support@netinside.com.cn

前面讲述抓包过滤器的时候提到过,Wireshark共有2类过滤器,第二类就是这次讲解的显示过滤器。和抓包过滤器不同,显示过滤器是在现有的数据包中通过过滤条件,筛选查看想要的对象,不需要显示的内容被“隐藏”,而执行了抓包过滤器,不需要的数据包则会直接被丢弃,无法挽回。

本节主要简述什么是显示过滤器、显示过滤器的语法结构、常用显示过滤器列表及如何保存显示过滤器等内容。

显示过滤器介绍

显示过滤器远比抓包过滤器更加灵活和强大。显示过滤器不会丢失数据包,只是为了增强用户阅读而将一部分数据包隐藏起来。丢弃数据包有时并非明智选择,因为一旦数据包被丢弃,这些数据包也就无法再恢复回来了。

在分组列表面板上面的输入框,你可以输入显示过滤器,或者通过下拉显示近期使用的过滤器记录,来选择使用显示过滤器。

网深科技 NetInside 网络分析 Wireshark 过滤器

在用户配置了显示过滤器之后,只有那些满足用户过滤器设置条件的数据包才会被显示出来。使用应用了显示过滤器之后,就会在Wireshark状态栏的第二列看到使用显示过滤器后的相关信息。

网深科技 NetInside 网络分析 Wireshark使用过滤器

如何快速创建显示过滤器

显示过滤器可以在Packet List(数据包列表面板)上面右键,从作为过滤器、准备过滤器和对话过滤器中快速生成,如下图所示。显示过滤器使用的语法很容易理解并使用。对于新手来说,显示过滤器是一种超级强大的功能,它会让你分析起数据包游刃有余。

网深科技 NetInside 网络分析 Wireshark创建显示过滤器

显示过滤器可以用很多不同的参数作为匹配标准,比如IP地址协议、端口号、某些协议头部的参数。此外,用户也用一些条件工具和组合运算符创建出更加复杂的表达式。用户可以将不同的表达式组合起来,让软件显示的数据包范围更加精确。在数据包列表面板中显示的所有数据包都可以用数据包中包含的字段进行过滤显示。

显示过滤器语法结构

每条显示过滤器通常都是由若干原词构成,原词之间通过连接符(andor)连接,原词之前还可以添加not表示相反的意思,其语法如下所列。

[not] 表达式 [and or] [not] 表达式

下图是显示过滤器表达式中条件运算符的解释。

网深科技 NetInside 网络分析 Wireshark显示过滤器语法结构

下图是逻辑运算符的说明解释。

网深科技 NetInside 网络分析 Wireshark逻辑运算符说明解释

常用显示过滤器参考

以下是常见显示过滤器,供参考。

网深科技 NetInside 网络分析 Wireshark 常用显示过滤器

如何保存过滤器

当你创建了很多捕获和显示过滤器之后,会发现其中有一些使用得格外频繁。为了每次使用它们的时候都不重新输入,可以让Wireshark把常用的过滤器规则保存下来,供以后使用。

选择分析——显示过滤器,打开显示过滤器窗口,就能看到系统默认自带的部分显示过滤器。

网深科技 NetInside 网络分析 Wireshark 保存过滤器

根据自己的需求,在显示过滤器窗口,使用新增和删除功能,进行过滤器创建和删除,你也可以使用复制这一快捷的方法,先复制类似形式的已有过滤器,再通过修改名称和过滤器内容,形成新的过滤器。