![](data/3.webp)
![](data/4.webp)
![](data/2.webp)
![](data/6.webp)
《华为HCIA路由交换认证指南》配套PPT 啊
![](data/7.webp)
![](data/8.webp)
![](data/5.webp)
讲师:韩立刚
51CTO学堂金牌讲师
51CTO学堂教学顾问
微软最有价值专家MVP
河北师大软件学院讲师
河北地质大学客座讲师
计算机图书作者
Wireshare筛选器的使用
![](data/0.webp)
![](data/1.webp)
Wireshark抓包工具筛选数据包
2.3.1显示过滤器
![](data/9.webp)
![](data/10.webp)
![](data/0.webp)
![](data/1.webp)
协议筛选和表达式筛选
筛选分为协议筛选和表达式筛选。
协议筛选根据通讯协议进行筛选数据包,如 HTTP、FTP等。常用协议有UDP、
TCP、ARP、ICMP、SMTP、POP、DNS、IP、Telnet、SSH、RDP、RIP、
OSPF 等。
表达式筛选分为基本过滤表达式和复合过滤表达式。
一条基本的表达式由过滤项、过滤关系、过滤值三项组成。
比如ip.addr == 192.168.1.1,这条表达式中ip.addr是过滤项、==是过滤关系、
192.168.1.1是过滤值,整条表达式的意思是找出所有ip 协议中源或目标ip地
址等于192.168.1.1的数据包。
![](data/0.webp)
![](data/1.webp)
过滤项 表达式 过滤值
过滤项
初学者感觉的“过滤表达式复杂”,最主要就是在这个过滤项
上:一是不知道有哪些过滤项,二是不知道过滤项该怎么写。
这两个问题有一个共同的答案,Wireshark的过滤项是“协
议”+“.”+“协议字段”的模式。以端口为例,端口出现于tcP中所
以有端口这个过滤项且其写法就是tcp.port。
过滤关系
过滤关系就是大于、小于、等于等几种等式关系,我们可以
直接看官方给出的表。注意其中有“English”和“C-like”两个字
段,这个意思是说“English”和“C-like”这两种写法在Wireshark
中是等价的、都是可用的。
过滤值
过滤值就是设定的过滤项应该满足过滤关系的标准,如500、
5000、50000等。过滤值的写法一般已经被过滤项和过滤关
系设定好了,只是填下自己的期望值就可以了。
![](data/11.webp)
![](data/0.webp)
![](data/1.webp)
复合过滤表达式
复合过滤表达式,就是指由多条基本过滤表达式组合而成的表达式。
基本过滤表达式的写法还是不变的,复合过滤表达式由连接词连接 基
本过滤表达式构成。
![](data/12.webp)
![](data/0.webp)
![](data/1.webp)
常见显示过滤需求及其对应表达式
数据链路层表达式示例:
筛选目标mac地址为04:f9:38:ad:13:26的数据包---- eth.dst == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26
网络层表达式示例:
筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1
筛选192.168.1.1和192.168.1.2之间的数据包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
传输层表达式示例:
筛选tcP的数据包----tcp
筛选除tcP以外的数据包----!tcp
筛选端口为80的数据包----tcp.port == 80
筛选源端口51933到目标端口80的数据包----tcp.srcport == 51933 && tcp.dstport == 80
应用层表达式示例:
筛选url中包含.php的http数据包----http.request.uri contains ".php"
筛选url中包含www.baixing.com域名的http数据包----http.request.uri contains "www.baixing.com"
筛选内容包含username的http数据包----http contains "username"
筛选内容包含password的http数据包http contains "password"