如何在wireshark中使用过滤器？

Question

我试图用Wireshark捕获http流量，但不能实现过滤器。

例如，我需要通过URL过滤流量。我在教程https://www.wireshark.org/docs/man-pages/wireshark-filter.html中找到了解决方案

​

​

因此，我尝试遵循语法错误，但筛选表达式或中的错误捕获筛选器无效。

​

​

如何正确使用Wireshark中的过滤器？

Answer 1

步骤- 1:选择正确的接口

您需要选择您要从其中嗅探数据的接口。如果使用无线路由器连接互联网，则选择Wi: en0选项。

如果您与许多选项混淆，请删除不必要的连接设备，以减少选项，也打开任何YouTube视频，以便您可以看到流量波动在您的互联网链接接口。请注意，接口旁边的直线意味着该接口上没有活动的通信量。

(详见以下视频：https://www.youtube.com/watch?v=1wB3ku4TSLY)

步骤2:设计正确的过滤器

要应用正确的过滤器，您应该知道公共IP地址或端口(或两者都知道)。在您的情况下，打开cmd提示符(windows用户)并查找您的URL以查找ip地址

​

​

(详见视频：https://www.youtube.com/watch?v=5DzG2hKAZ9U)

因此，您的过滤器是“ip.addr == 104.26.11.240”

步骤-3:应用筛选器

不要用“http包含”Google“，请输入”ip.addr == 104.26.11.240“而不加双引号。

​

​

然后按回车键，你的红色滤镜颜色变成绿色&你可以在底部看到

数据包：(number1)。展示：(number2)

​

​

数字1-在接口上捕获的数据包总数

number2 - www.wireshark.org接口上的相关数据包数

步骤-4:保存数据包

只保存相关通信量(5个数据包)，并排除不必要的通信量(397个数据包)。

• 点击文件
• 单击导出指定的数据包
• 选择文件名&路径
• 选择pcapng格式

Answer 2

首先，您需要选择要从其中嗅探数据的接口。如果您希望嗅探无线数据，然后选择 wish : en0选项，那么当接口嗅探和解析数据时，您可以随意使用过滤器。

Answer 3

该区域用于捕获过滤器，而不是显示过滤器。如果您删除您的文本，您应该看到它表明，“输入一个捕获过滤器.”。输入显示过滤器的区域位于屏幕顶部，其中指示“应用显示过滤器.”。

顾名思义，捕获过滤器是在捕获过程中应用的，并且使用了与Wireshark的显示过滤器不同的语法，而Wireshark的显示过滤器是在处理捕获文件时已经捕获了数据包之后应用的。有关捕获筛选器语法的详细信息，请参阅pcap-滤波器手册页。

有关Wireshark显示过滤器的更多信息，请参阅“Wireshark用户指南”中的6.4。构建显示过滤器表达式部分。