2015-02-27
384
Фильтрацию, применяемую в программе Wireshark можно условно разделить на две категории:
• Фильтрация по определённым протоколам.
• Фильтрация по определённым значениям полей в заголовках протоколов.
Для применения фильтрации по определённому протоколу необходимо ввести имя протокола в поле ввода фильтра.
Пример выполнения фильтрации по протоколу HTTP показан на рисунках 18 и 19.
Рисунок 18. Вывод программы до применения фильтра.
Рисунок 19. Вывод программы после применения фильтра.
Фильтрация по определённому значению поля в заголовках протоколов строится по следующему синтаксису:
Поле ̺ Оператор сравнения ̺ Значение
Некоторые обозначения полей и операторы сравнения, которые могут использоваться при построении фильтров, представлены в таблицах ниже.
Таблица 3. Краткий перечень обозначения полей.
Таблица 4.Операторы сравнения
| Оператор | Значение | Примеры | |
| = = | eq | Равно | ip.addr==192.168.1.1 Отображать только те пакеты протокола IP, в которых сетевой адрес отправителя или получателя равен 192.168.1.1 eth.dst==ff:ff:ff:ff:ff:ff Отображать только широковещательный (broadcast) кадры протокола Ethernet. |
| != | ne | Не равно | ip.dst==255.255.255.255 Не отображать широковещательные (broadcast) пакеты протокола IP |
| ˃ | gt | Больше | tcp.dstport˃10000 Отображать только те дейтаграммы протокола TCP, в которых порт получателя больше 10000 |
| ˂ | lt | Меньше | tcp.dstport˂1024 Отображать только те дейтаграммы протокола TCP, в которых порт получателя меньше 1024 |
При построении фильтра можно комбинировать два и более условия, используя логические операторы. Комбинирование условий при построении операторов производится по следующему принципу:
Условие1 ̺ Логический оператор ̺ Условие2 ̺ Логический оператор
В качестве условия может использоваться как фильтрация по протоколам, так и фильтрация по значениям определенных полей в протоколах.
В таблице 5 представлены некоторые логические операторы для комбинированных условий.
Таблица5. Комбинированные логические операторы
