說起Wireshark就不得不提Ethereal了，Ethereal和在 Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄，不過和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本，他是在Ethereal被 收購后推出的最新網(wǎng)絡(luò)嗅探軟件，在功能上比前身更加強大。

使用Wireshark時最常見的問題，是當(dāng)您使用默認(rèn)設(shè)置時，會得到大量冗余信息，以至于很難找到自己需要的部分。
這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結(jié)果中迅速找到我們需要的信息。

- -	捕捉過濾器：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置。 顯示過濾器：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改。

那么我應(yīng)該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。
捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。
顯示過濾器是一種更為強大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄。

兩種過濾器使用的語法是完全不同的。

1. 捕捉過濾器

捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發(fā)的軟件一樣，比如著名的 TCPdump 。捕捉過濾器必須在開始捕捉前設(shè)置完畢，這一點跟顯示過濾器是不同的。

設(shè)置捕捉過濾器的步驟是：
- 選擇 capture -> options。
- 填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。
- 點擊開始（Start）進(jìn)行捕捉。

語法：

?

Protocol

?

Direction

?

Host(s)

?

Value

?

Logical Operations

?

Other expression

例子：

?

tcp

?

dst

?

10.1.1.1

?

80

?

and

?

tcp dst 10.2.2.2 3128

Protocol（協(xié)議） :
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

Direction（方向） :
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地，則默認(rèn)使用 "src or dst" 作為關(guān)鍵字。
例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。 Host(s) :
可能的值： net, port, host, portrange.
如果沒有指定此值，則默認(rèn)使用"host"關(guān)鍵字。
例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

Logical Operations（邏輯運算） :
可能的值：not, and, or.
否("not")具有最高的優(yōu)先級。或("or")和與("and")具有相同的優(yōu)先級，運算時從左至右進(jìn)行。
例如，
"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

?

---

例子：

tcp dst port 3128

顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1

顯示來源IP地址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來源IP地址為10.1.2.3的封包。

src portrange 2000-2500

顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包。

not imcp

顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP為10.4.1.12或者來源網(wǎng)絡(luò)為10.6.0.0/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)10.0.0.0/8內(nèi)的所有封包。

?

---

注意事項：

當(dāng)使用關(guān)鍵字作為值時，需使用反斜杠“\”。
"ether proto \ip" (與關(guān)鍵字"ip"相同).
這樣寫將會以IP協(xié)議作為目標(biāo)。

"ip proto \icmp" (與關(guān)鍵字"icmp"相同).
這樣寫將會以ping工具常用的icmp作為目標(biāo)。

可以在"ip"或"ether"后面使用"multicast"及"broadcast"關(guān)鍵字。
當(dāng)您想排除廣播請求時，"no broadcast"就會非常有用。

---

查看 TCPdump的主頁 以獲得更詳細(xì)的捕捉過濾器語法說明。
在 Wiki Wireshark website 上可以找到更多捕捉過濾器的例子。

2. 顯示過濾器：

通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。
它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。

語法：

?

Protocol

.

String 1

.

String 2

?

Comparison operator

?

Value

?

Logical Operations

?

Other expression

例子：

?

ftp

?

passive

?

ip

?

==

?

10.2.3.4

?

xor

?

icmp.type

Protocol（協(xié)議） :

您可以使用大量位于OSI模型第2至7層的協(xié)議。點擊"Expression..."按鈕后，您可以看到它們。
比如：IP，TCP，DNS，SSH





您同樣可以在如下所示位置找到所支持的協(xié)議：





Wireshark的網(wǎng)站提供了對各種 協(xié)議以及它們子類的說明 。

String1, String2 (可選項):

協(xié)議的子類。
點擊相關(guān)父類旁的"+"號，然后選擇其子類。



Comparison operators （比較運算符） :

可以使用6種比較運算符：

英文寫法：	C語言寫法：	含義：
eq	==	等于
ne	!=	不等于
gt	>	大于
lt	<	小于
ge	>=	大于等于
le	<=	小于等于

Logical expressions（邏輯運算符） :

英文寫法：	C語言寫法：	含義：
and	&&	邏輯與
or	||	邏輯或
xor	^^	邏輯異或
not	!	邏輯非

被程序員們熟知的邏輯異或是一種排除性的或。當(dāng)其被用在過濾器的兩個條件之間時，只有當(dāng)且僅當(dāng)其中的一個條件滿足時，這樣的結(jié)果才會被顯示在屏幕上。
讓我們舉個例子：
"tcp.dstport 80 xor tcp.dstport 1025"
只有當(dāng)目的TCP端口為80或者來源于端口1025（但又不能同時滿足這兩點）時，這樣的封包才會被顯示。

---

例子：

snmp || dns || icmp

顯示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1

顯示來源或目的IP地址為10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來源不為10.1.2.3或者目的不為10.4.5.6的封包。
換句話說，顯示的封包將會為：
來源IP：除了10.1.2.3以外任意；目的IP：任意
以及
來源IP：任意；目的IP：除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

顯示來源不為10.1.2.3并且目的IP不為10.4.5.6的封包。
換句話說，顯示的封包將會為：
來源IP：除了10.1.2.3以外任意；同時須滿足，目的IP：除了10.4.5.6以外任意

tcp.port == 25

顯示來源或目的TCP端口號為25的封包。

tcp.dstport == 25

顯示目的TCP端口號為25的封包。

tcp.flags

顯示包含TCP標(biāo)志的封包。

tcp.flags.syn == 0x02

顯示包含TCP SYN標(biāo)志的封包。

如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤。

	表達(dá)式正確
	表達(dá)式錯誤

您可以在 Wireshark官方網(wǎng)站 或 Wiki Wireshark website 上找到關(guān)于顯示過濾器的補充信息。