說(shuō)起Wireshark就不得不提Ethereal了，Ethereal和在 Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄，不過(guò)和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本，他是在Ethereal被 收購(gòu)后推出的最新網(wǎng)絡(luò)嗅探軟件，在功能上比前身更加強(qiáng)大。

使用Wireshark時(shí)最常見的問(wèn)題，是當(dāng)您使用默認(rèn)設(shè)置時(shí)，會(huì)得到大量冗余信息，以至于很難找到自己需要的部分。
這就是為什么過(guò)濾器會(huì)如此重要。它們可以幫助我們?cè)邶嬰s的結(jié)果中迅速找到我們需要的信息。

- -	捕捉過(guò)濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。 顯示過(guò)濾器：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。

那么我應(yīng)該使用哪一種過(guò)濾器呢？

兩種過(guò)濾器的目的是不同的。
捕捉過(guò)濾器是數(shù)據(jù)經(jīng)過(guò)的第一層過(guò)濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過(guò)大的日志文件。
顯示過(guò)濾器是一種更為強(qiáng)大（復(fù)雜）的過(guò)濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。

兩種過(guò)濾器使用的語(yǔ)法是完全不同的。

1. 捕捉過(guò)濾器

捕捉過(guò)濾器的語(yǔ)法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫(kù)開發(fā)的軟件一樣，比如著名的 TCPdump 。捕捉過(guò)濾器必須在開始捕捉前設(shè)置完畢，這一點(diǎn)跟顯示過(guò)濾器是不同的。

設(shè)置捕捉過(guò)濾器的步驟是：
- 選擇 capture -> options。
- 填寫"capture filter"欄或者點(diǎn)擊"capture filter"按鈕為您的過(guò)濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過(guò)濾器。
- 點(diǎn)擊開始（Start）進(jìn)行捕捉。

語(yǔ)法：

?

Protocol

?

Direction

?

Host(s)

?

Value

?

Logical Operations

?

Other expression

例子：

?

tcp

?

dst

?

10.1.1.1

?

80

?

and

?

tcp dst 10.2.2.2 3128

Protocol（協(xié)議） :
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒(méi)有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

Direction（方向） :
可能的值: src, dst, src and dst, src or dst
如果沒(méi)有特別指明來(lái)源或目的地，則默認(rèn)使用 "src or dst" 作為關(guān)鍵字。
例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。 Host(s) :
可能的值： net, port, host, portrange.
如果沒(méi)有指定此值，則默認(rèn)使用"host"關(guān)鍵字。
例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

Logical Operations（邏輯運(yùn)算） :
可能的值：not, and, or.
否("not")具有最高的優(yōu)先級(jí)。或("or")和與("and")具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。
例如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

?

---

例子：

tcp dst port 3128

顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1

顯示來(lái)源IP地址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來(lái)源IP地址為10.1.2.3的封包。

src portrange 2000-2500

顯示來(lái)源為UDP或TCP，并且端口號(hào)在2000至2500范圍內(nèi)的封包。

not imcp

顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來(lái)源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來(lái)源IP為10.4.1.12或者來(lái)源網(wǎng)絡(luò)為10.6.0.0/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。

?

---

注意事項(xiàng)：

當(dāng)使用關(guān)鍵字作為值時(shí)，需使用反斜杠“\”。
"ether proto \ip" (與關(guān)鍵字"ip"相同).
這樣寫將會(huì)以IP協(xié)議作為目標(biāo)。

"ip proto \icmp" (與關(guān)鍵字"icmp"相同).
這樣寫將會(huì)以ping工具常用的icmp作為目標(biāo)。

可以在"ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字。
當(dāng)您想排除廣播請(qǐng)求時(shí)，"no broadcast"就會(huì)非常有用。

---

查看 TCPdump的主頁(yè) 以獲得更詳細(xì)的捕捉過(guò)濾器語(yǔ)法說(shuō)明。
在 Wiki Wireshark website 上可以找到更多捕捉過(guò)濾器的例子。

2. 顯示過(guò)濾器：

通常經(jīng)過(guò)捕捉過(guò)濾器過(guò)濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過(guò)濾器進(jìn)行更加細(xì)致的查找。
它的功能比捕捉過(guò)濾器更為強(qiáng)大，而且在您想修改過(guò)濾器條件時(shí)，并不需要重新捕捉一次。

語(yǔ)法：

?

Protocol

.

String 1

.

String 2

?

Comparison operator

?

Value

?

Logical Operations

?

Other expression

例子：

?

ftp

?

passive

?

ip

?

==

?

10.2.3.4

?

xor

?

icmp.type

Protocol（協(xié)議） :

您可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊"Expression..."按鈕后，您可以看到它們。
比如：IP，TCP，DNS，SSH





您同樣可以在如下所示位置找到所支持的協(xié)議：





Wireshark的網(wǎng)站提供了對(duì)各種 協(xié)議以及它們子類的說(shuō)明 。

String1, String2 (可選項(xiàng)):

協(xié)議的子類。
點(diǎn)擊相關(guān)父類旁的"+"號(hào)，然后選擇其子類。



Comparison operators （比較運(yùn)算符） :

可以使用6種比較運(yùn)算符：

英文寫法：	C語(yǔ)言寫法：	含義：
eq	==	等于
ne	!=	不等于
gt	>	大于
lt	<	小于
ge	>=	大于等于
le	<=	小于等于

Logical expressions（邏輯運(yùn)算符） :

英文寫法：	C語(yǔ)言寫法：	含義：
and	&&	邏輯與
or	||	邏輯或
xor	^^	邏輯異或
not	!	邏輯非

被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過(guò)濾器的兩個(gè)條件之間時(shí)，只有當(dāng)且僅當(dāng)其中的一個(gè)條件滿足時(shí)，這樣的結(jié)果才會(huì)被顯示在屏幕上。
讓我們舉個(gè)例子：
"tcp.dstport 80 xor tcp.dstport 1025"
只有當(dāng)目的TCP端口為80或者來(lái)源于端口1025（但又不能同時(shí)滿足這兩點(diǎn)）時(shí)，這樣的封包才會(huì)被顯示。

---

例子：

snmp || dns || icmp

顯示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1

顯示來(lái)源或目的IP地址為10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來(lái)源不為10.1.2.3或者目的不為10.4.5.6的封包。
換句話說(shuō)，顯示的封包將會(huì)為：
來(lái)源IP：除了10.1.2.3以外任意；目的IP：任意
以及
來(lái)源IP：任意；目的IP：除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

顯示來(lái)源不為10.1.2.3并且目的IP不為10.4.5.6的封包。
換句話說(shuō)，顯示的封包將會(huì)為：
來(lái)源IP：除了10.1.2.3以外任意；同時(shí)須滿足，目的IP：除了10.4.5.6以外任意

tcp.port == 25

顯示來(lái)源或目的TCP端口號(hào)為25的封包。

tcp.dstport == 25

顯示目的TCP端口號(hào)為25的封包。

tcp.flags

顯示包含TCP標(biāo)志的封包。

tcp.flags.syn == 0x02

顯示包含TCP SYN標(biāo)志的封包。

如果過(guò)濾器的語(yǔ)法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說(shuō)明表達(dá)式有誤。

	表達(dá)式正確
	表達(dá)式錯(cuò)誤

您可以在 Wireshark官方網(wǎng)站 或 Wiki Wireshark website 上找到關(guān)于顯示過(guò)濾器的補(bǔ)充信息。