WireShark使用培訓(xùn)

1、培訓(xùn)目的通過本課程的學(xué)習(xí)，您將能夠：了解WireShark的界面組成熟悉WireShark的基本操作適用對(duì)象： 測(cè)試、開發(fā)、網(wǎng)絡(luò)工程人員內(nèi)容綱要網(wǎng)絡(luò)截包的理論基礎(chǔ)Wireshark 概述Wireshark常用功能功能界面介紹過濾器捕捉過濾器顯示過濾器Follow TCP Stream統(tǒng)計(jì)工具以太網(wǎng)絡(luò)的工作原理（1）載波偵聽/沖突檢測(cè)(CSMA/CD, carrier sense multiple access with collision detection)技術(shù)載波偵聽：是指在網(wǎng)絡(luò)中的每個(gè)站點(diǎn)都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時(shí)，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數(shù)據(jù)如果信道被占用，

2、就等待信道空閑而沖突檢測(cè)則是為了防止發(fā)生兩個(gè)站點(diǎn)同時(shí)監(jiān)測(cè)到網(wǎng)絡(luò)沒有被使用時(shí)而產(chǎn)生沖突以太網(wǎng)采用了CSMA/CD技術(shù)，這是捕獲數(shù)據(jù)包的物理基礎(chǔ)。以太網(wǎng)絡(luò)的工作原理（2）以太網(wǎng)是一種總線型的網(wǎng)絡(luò)，從邏輯上來看是由一條總線和多個(gè)連接在總線上的站點(diǎn)所組成各個(gè)站點(diǎn)采用上面提到的 CSMA/CD 協(xié)議進(jìn)行信道的爭(zhēng)用和共享。每個(gè)站點(diǎn)網(wǎng)卡實(shí)現(xiàn)這種功能。網(wǎng)卡主要的工作是完成對(duì)于總線當(dāng)前狀態(tài)的探測(cè)，確定是否進(jìn)行數(shù)據(jù)的傳送，判斷每個(gè)物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 校驗(yàn)，然后將數(shù)據(jù)幀提交給LLC 子層。以太網(wǎng)卡的工作方式

3、網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包MAC地址與自己相匹配的數(shù)據(jù)幀（單播包）廣播包（Broadcast）和屬于自己的組播包（Multicast）網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包和組播數(shù)據(jù)包單播、組播和廣播共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)共享式網(wǎng)絡(luò)通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī)；最常見的是通過HUB連接起來的子網(wǎng)；交換式網(wǎng)絡(luò)通過交換機(jī)連接網(wǎng)絡(luò)；由交換機(jī)構(gòu)造一個(gè)“MAC

4、地址-端口”映射表；發(fā)送包的時(shí)候，只發(fā)到特定的端口上；交換機(jī)的鏡像端口功能共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)ABCDto C鏡像端口WIRESHARK概述概 述發(fā)展簡(jiǎn)史：1998年由Gerald Combs 完成第一個(gè)Ethereal(Wireshark前身)版本的開發(fā)。此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析1998年10月，Guy Harris正尋找一種比TcpView更好的工具，他開始為Ethereal進(jìn)行改進(jìn)，并提供分析。1998年以后，正在進(jìn)行TCP/IP教學(xué)的Richard Sharpe 關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新

5、協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進(jìn)。從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋。2006年重新命名為Wireshark.概 述Wireshark的原名是Ethereal，新名字是2006年起用的。當(dāng)時(shí)Ethereal的主要開發(fā)者決定離開他原來供職的公司，并繼續(xù)開發(fā)這個(gè)軟件。但由于Ethereal這個(gè)名稱的使用權(quán)已經(jīng)被原來那個(gè)公司注冊(cè)，Wireshark這個(gè)新名字也就應(yīng)運(yùn)而生了。 Wireshark的優(yōu)勢(shì)：安裝方便。簡(jiǎn)單易用的界面。提供豐富的功能。局限

6、： 本機(jī)程序之間進(jìn)行的網(wǎng)絡(luò)通信無法攔截。 不會(huì)處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測(cè)量”(監(jiān)視)網(wǎng)絡(luò)。 不會(huì)發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情。概 述支持的系統(tǒng)：WindowsAPPle Mac OSXDebian GNU/LinuxFreeBSDNetBSDOpenPKGRed Hat Fedora/Enterprise Linux概 述官方網(wǎng)站：/維基網(wǎng)站地址：/中文用戶手冊(cè)：http:/ “居心叵測(cè)”的用它來尋找一些敏感信息Wireshark不是入侵檢測(cè)軟件（Intrusion DetectionSoftwar

7、e,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析 Wireshark截取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。功能界面介紹MENUS（菜單）（菜單）SHORTCUTS（快捷方式）（快捷方式） DISPLAY FILTER（顯示過濾器）（顯示過濾器）PACKET LIST PANE（封包列表（封包列表)PACKET DETAILS PANE（封包詳細(xì)信息）（封包詳細(xì)信息）DISSECTOR PANE（16進(jìn)制數(shù)

8、據(jù)）進(jìn)制數(shù)據(jù)）MISCELLANOUS（雜項(xiàng)）（雜項(xiàng)）File（文件） 打開或保存捕獲的信息。 Edit （編輯）查找或標(biāo)記封包。進(jìn)行全局設(shè)置。View（查看） 設(shè)置Wireshark的視圖。 Go （轉(zhuǎn)到）跳轉(zhuǎn)到捕獲的數(shù)據(jù)。Capture（捕獲）設(shè)置捕捉過濾器并開始捕捉。Analyze（分析）設(shè)置分析選項(xiàng)。Statistics （統(tǒng)計(jì)）查看Wireshark的統(tǒng)計(jì)信息。 Help （幫助）查看本地或者在線支持。 Help 幫助Contents Wireshark 使用手冊(cè)Supported Protocols Wireshark支持的協(xié)議清單Manual Pages 使用手冊(cè)（HTML網(wǎng)頁(yè)）

9、Wireshark Online Wireshark 在線About Wireshark 關(guān)于WiresharkANSI 按照美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)的ANSI協(xié)議分析Fax T38 Analysis. 按照T38傳真規(guī)范進(jìn)行分析GSM 全球移動(dòng)通信系統(tǒng)GSM的數(shù)據(jù)H.225 H.225 協(xié)議的數(shù)據(jù)MTP3 MTP3 協(xié)議的數(shù)據(jù)RTP 實(shí)時(shí)傳輸協(xié)議RTP的數(shù)據(jù)SCTP 數(shù)據(jù)流控制傳輸協(xié)議SCTP的數(shù)據(jù)SIP. 會(huì)話初始化協(xié)議SIP的數(shù)據(jù)VoIP Calls 互聯(lián)網(wǎng)IP電話的數(shù)據(jù)WAP-WSP 無線應(yīng)用協(xié)議WAP和WSP的數(shù)據(jù)BOOTP-DHCP 引導(dǎo)協(xié)議和動(dòng)態(tài)主機(jī)配置協(xié)議的數(shù)據(jù)Destinations

10、 通信目的端Flow Graph 網(wǎng)絡(luò)通信流向圖HTTP 超文本傳輸協(xié)議的數(shù)據(jù)IP address 互聯(lián)網(wǎng)IP地址ISUP Messages ISUP 協(xié)議的報(bào)文Multicast Streams 多播數(shù)據(jù)流ONC-RPC ProgramsPacket Length 數(shù)據(jù)包的長(zhǎng)度Port Type 傳輸層通信端口類型TCP Stream Graph 傳輸控制協(xié)議TCP數(shù)據(jù)流波形圖Statistics對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析Summary 已捕獲數(shù)據(jù)文件的總統(tǒng)計(jì)概況Protocol Hierarchy 數(shù)據(jù)中的協(xié)議類型和層次結(jié)構(gòu)Conversations 會(huì)話Endpoints 定義統(tǒng)計(jì)分

11、析的結(jié)束點(diǎn)IO Graphs 輸入/輸出數(shù)據(jù)流量圖Conversation List 會(huì)話列表Endpoint List 統(tǒng)計(jì)分析結(jié)束點(diǎn)的列表Service Response Time 從客戶端發(fā)出請(qǐng)求至收到服務(wù)器 響應(yīng)的時(shí)間間隔Analyze 對(duì)已捕獲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析Display Filters 選擇顯示過濾器Apply as Filter 將其應(yīng)用為過濾器Prepare a Filter 設(shè)計(jì)一個(gè)過濾器Firewall ACL Rules 防火墻ACL規(guī)則Enabled Protocols 已可以分析的協(xié)議列表Decode As 將網(wǎng)絡(luò)數(shù)據(jù)按某協(xié)議規(guī)則解碼User Specified

12、Decodes 用戶自定義的解碼規(guī)則Follow TCP Stream 跟蹤TCP傳輸控制協(xié)議的通信數(shù)據(jù)段， 將分散傳輸?shù)臄?shù)據(jù)組裝還原Follow SSL stream 跟蹤SSL 安全套接層協(xié)議的通信數(shù)據(jù)流Expert Info 專家分析信息Expert Info Composite 構(gòu)造專家分析信息Capture 捕獲網(wǎng)絡(luò)數(shù)據(jù)Interfaces 選擇本機(jī)的網(wǎng)絡(luò)接口 進(jìn)行數(shù)據(jù)捕獲Options 捕獲參數(shù)選擇Start 開始捕獲網(wǎng)絡(luò)數(shù)據(jù)Stop 停止捕獲網(wǎng)絡(luò)數(shù)據(jù)Restart 重新開始捕獲Capture Filters 選擇捕獲過濾器Go 運(yùn)行Back 向后運(yùn)行Forward 向前運(yùn)行Go

13、to packet 轉(zhuǎn)移到某數(shù)據(jù)包Go to Corresponding Packet 轉(zhuǎn)到相應(yīng)的數(shù)據(jù)包Previous Packet 前一個(gè)數(shù)據(jù)包Next Packet 下一個(gè)數(shù)據(jù)包First Packet 第一個(gè)數(shù)據(jù)包Last Packet 最后一個(gè)數(shù)據(jù)包View 視圖Main Toolbar 主工具欄Filter Toolbar 過濾器工具欄Wireless Toolbar 無線工具欄Statusbar 運(yùn)行狀況工具欄Packet List 數(shù)據(jù)包列表Packet Details 數(shù)據(jù)包細(xì)節(jié)Packet Bytes 數(shù)據(jù)包字節(jié)Time Display Format 時(shí)間顯示格式Name

14、resolution 名字解析（轉(zhuǎn)換： 域名/IP地址， 廠商名/MAC地址,端口號(hào)/端口名）Colorize Packet List 顏色標(biāo)識(shí)的數(shù)據(jù)包列表Auto Scroll in Live Capture 現(xiàn)場(chǎng)捕獲時(shí)實(shí)時(shí)滾動(dòng)Zoom In 放大顯示Zoom Out 縮小顯示Normal Size 正常大小Resize All Columns 改變所有列大小Expand Sub trees 擴(kuò)展開數(shù)據(jù)包內(nèi)封裝協(xié)議的子樹結(jié)構(gòu)Expand All 全部擴(kuò)展開Collapse All 全部折疊收縮Coloring Rules 對(duì)不同類型的數(shù)據(jù)包用 不同顏色標(biāo)識(shí)的規(guī)則Show Packet in

15、New Window 將數(shù)據(jù)包顯示在一個(gè)新的窗口Reload 將數(shù)據(jù)文件重新加Edit 編輯Find Packet 搜索數(shù)據(jù)包Find Next 搜索下一個(gè)Find Previous 搜索前一個(gè)Mark Packet (toggle) 對(duì)數(shù)據(jù)包做標(biāo)記（標(biāo)定）Find Next Mark 搜索下一個(gè)標(biāo)記的包Find Previous Mark 搜索前一個(gè)標(biāo)記的包Mark All Packets 對(duì)所有包做標(biāo)記Unmark All Packets 去除所有包的標(biāo)記Set Time Reference (toggle) 設(shè)置參考時(shí)間 （標(biāo)定）Find Next Reference 搜索下一個(gè)參考點(diǎn)F

16、ind Previous Reference 搜索前一個(gè)參考點(diǎn)Preferences 參數(shù)選擇File 打開文件Open 打開文件Open Recent 打開近期訪問過的文件Merge 將幾個(gè)文件合并為一個(gè)文件Close 關(guān)閉此文件Save As 保存為File Set 文件屬性Export 文件輸出Print 打印輸出Quit 關(guān)閉在菜單下面，是一些常用的快捷按鈕。在菜單下面，是一些常用的快捷按鈕。您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說明您可以將鼠標(biāo)指針移動(dòng)到某個(gè)圖標(biāo)上以獲得其功能說明。顯示過濾器用于查找捕捉記錄中的內(nèi)容。顯示過濾器用于查找捕捉記錄中的內(nèi)容。請(qǐng)不要將捕捉過濾器和顯示過

17、濾器的概念相混淆。請(qǐng)參考請(qǐng)不要將捕捉過濾器和顯示過濾器的概念相混淆。請(qǐng)參考Wireshark過濾器中的詳細(xì)內(nèi)容。過濾器中的詳細(xì)內(nèi)容。 (tcp.port = 80 | udp.port = 80)&ip.addr=01說明：源地址和目的地址為01并且端口為80的所有數(shù)據(jù)包ip.addr=01 & http說明：源地址和目的地址為01并且協(xié)議為HTTP的所有數(shù)據(jù)包這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的信息按照不同的OSI layer進(jìn)

18、行了分組，可以展開每個(gè)項(xiàng)目查看。下進(jìn)行了分組，可以展開每個(gè)項(xiàng)目查看。下面截圖中展開的是面截圖中展開的是HTTP信息。信息。 “解析器解析器”在在Wireshark中也被叫做中也被叫做“16進(jìn)制數(shù)據(jù)查看面板進(jìn)制數(shù)據(jù)查看面板”。這里顯。這里顯示的內(nèi)容與示的內(nèi)容與“封包詳細(xì)信息封包詳細(xì)信息”中相同，只是改為以中相同，只是改為以16進(jìn)制的格式表述。進(jìn)制的格式表述。在上面的例子里，我們?cè)谠谏厦娴睦永铮覀冊(cè)凇胺獍敿?xì)信息封包詳細(xì)信息”中選擇查看中選擇查看TCP端口端口（80），其對(duì)應(yīng)的），其對(duì)應(yīng)的16進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（進(jìn)制數(shù)據(jù)將自動(dòng)顯示在下面的面板中（0050）。）。 過濾器 過濾器

19、在Wireshark中有兩種過濾器。捕捉過濾器：在抓包之前設(shè)置，讓W(xué)ireshark只抓取過濾器指定的包。顯示過濾器：在桌包之前或者完成抓包之后都可，不影響抓包，只是方便查看。 1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器點(diǎn)擊點(diǎn)擊show the capture options一：一：選擇本地的網(wǎng)絡(luò)適配器選擇本地的網(wǎng)絡(luò)適配器二：二：設(shè)置捕捉過濾設(shè)置捕捉過濾填寫填寫capture filter欄或者點(diǎn)擊欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。填寫ca

20、pture filter欄或者點(diǎn)擊capture filter按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器。三：三：點(diǎn)擊開始點(diǎn)擊開始 可通過Capture菜單中的Interfaces打開網(wǎng)卡列表，然后點(diǎn)擊網(wǎng)卡右邊的“Start”按鈕開始抓包?；蛘邌螕艄ぞ邫诘牡谝粋€(gè)按鈕，和單擊Capture-Interfaces的效果一樣。 開始抓包后，Wireshark的主界面中會(huì)以不同的顏色顯示抓取到的不同的數(shù)據(jù)包。 如果要停止抓包，可通過工具欄中的Stop按鈕，或者Capture-Stop菜單項(xiàng)停止抓包。 停止抓包后我們可以將抓取到的數(shù)據(jù)包保存到文件供日后分析使用。 可通過菜單F

21、ile-Save(Save As) 或者工具欄上的保存按鈕。抓包模式 在開始抓包之前還可修改Wireshark的抓包選項(xiàng)。通過工具欄或者菜單Capture-Options 打開抓包選項(xiàng)設(shè)置界面。 這里可以設(shè)置很多選項(xiàng)，我們這里介紹一下 混雜模式 和 非混雜模式。混雜模式：抓取經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包，包括發(fā)往本網(wǎng)卡和非發(fā)往本網(wǎng)卡的。非混雜模式：只抓取目標(biāo)地址是本網(wǎng)卡的數(shù)據(jù)包，對(duì)于發(fā)往別的主機(jī)而經(jīng)過本網(wǎng)卡的數(shù)據(jù)包忽略。 如左圖中顯示的是 混雜模式 由于Wireshark是將抓包數(shù)據(jù)保存在內(nèi)存當(dāng)中，當(dāng)抓包時(shí)間比較長(zhǎng)，抓的包比較多時(shí)可能出現(xiàn)內(nèi)存不夠用的情況。此時(shí)我們?cè)O(shè)置使用多個(gè)文件保存抓包數(shù)據(jù)就可避免這

22、種情況。 多個(gè)文件保存的方式可以是 每隔多久保存一個(gè)文件，也可以是 限制每個(gè)文件保存的大小，同時(shí)也可以設(shè)置限制文件個(gè)數(shù)。 默認(rèn)情況下Wireshark是只使用一個(gè)臨時(shí)文件來保存抓包數(shù)據(jù)的。多文件自動(dòng)保存抓包數(shù)據(jù)自動(dòng)停止抓包 在無人值守情況下，可設(shè)置在如下條件下自動(dòng)停止抓包： 抓到多少包之后；抓到多少包之后； 抓到多大數(shù)據(jù)量之后抓到多大數(shù)據(jù)量之后(存儲(chǔ)容量存儲(chǔ)容量)； 抓取多少分鐘之抓取多少分鐘之后。后。 設(shè)置設(shè)置CaptureCapture f filter ilter 步驟步驟: : -選擇 C Captureapture - O Options ptions 或者使用快捷鍵Ctrl+K -

23、填寫“Capture Filter”欄或者點(diǎn)擊“Capture Filter”按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器 -點(diǎn)擊開始（Start）進(jìn)行捕捉。CaptureCapture F Filter ilter 語法：語法：語法：語法： 例子：例子： iax2 dst 3 4569 and src 11iax2 dst 3 4569 and src 11 ProtocolProtocol（協(xié)議）（協(xié)議）: : 可能的值: ether, fddi, ip, arp, rar

24、p, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議 DirectionDirection（方向）（方向）: 可能的值: src, dst, src and dst, src or dst 如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。 例如，“host 11”與“src or dst host 11”是一樣的。 Host(s): Host(s): 可能的值： net, port, host, portrange. 如果沒

25、有指定此值，則默認(rèn)使用“host”關(guān)鍵字。 例如，src 11與src host 11相同。 Logical Operations Logical Operations（邏輯運(yùn)算）（邏輯運(yùn)算）: 可能的值：not, and, or. 否(“not”)具有最高優(yōu)先級(jí)?；?“or”)和與(“and”)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。 例，“not tcp port 3128 and tcp port 23”與“(not tcp port 3128) and tcp port 23”相同。 not tcp port 3128 and tcp port

26、 23與not (tcp port 3128 and tcp port 23)不同。 實(shí)例：udp dst port 4569 顯示目的UDP端口為4569的封包。 ip src host 顯示來源IP地址為的封包。 host 顯示目的或來源IP地址為的封包。 src portrange 2000-5000 顯示來源為TCP或UDP，并且端口在20005000范圍內(nèi)的封包。 not icmp 顯示除icmp以外的封包。 src host and not dst net 192.1

27、68.2.0/24 顯示來源IP地址為，但目的地址不是/24的封包。 (src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8 顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。 1.捕捉過濾器捕捉過濾器 2.顯示過濾器顯示過濾器可以使用大量位于可以使用大量位于OSI模型第模型第2至至7層的協(xié)議。點(diǎn)擊

28、層的協(xié)議。點(diǎn)擊Expression.按按鈕后，可以看到它們。鈕后，可以看到它們。比如：比如：IP，TCP，DNS，SSH可以在如下所示位置找到所支持的協(xié)議：可以在如下所示位置找到所支持的協(xié)議：Wireshark的網(wǎng)站提供的網(wǎng)站提供了對(duì)各種了對(duì)各種 協(xié)議以及它們協(xié)議以及它們子類的說明。子類的說明。FILTERProtocolValueOtherexpressionString1String2ComparisonOperatorLogicalOperations 例子： ftp passive ip = or icmp.type Protocol（協(xié)議）:可以使用大量位于O

29、SI模型第2至7層的協(xié)議。點(diǎn)擊“Expression.”按鈕后，您可以看到它們。比如：IP，TCP，UDP，DNS，SSH語法：同樣可以在以下位置找到所支持的協(xié)議String1，String2（可選項(xiàng)）:以協(xié)議的子類。點(diǎn)擊相關(guān)父類旁的“+”號(hào)，然后選擇其子類。Comparison Operators（比較運(yùn)算符）:可以使用以下幾種運(yùn)算符：英文寫法英文寫法C語言寫法語言寫法含義含義eq=Equal ne!=Not Equal gtGreater Than lt=Greater than or Equal to le= 10frame.cap_len = 012frame.cap_len = 0

30、xa八進(jìn)制表達(dá)十六進(jìn)制表達(dá)3、以太網(wǎng)地址和字節(jié)數(shù)組使用十六進(jìn)制表示，十六進(jìn)制的數(shù)字可以被“：”“.” “- ”分隔。 例如：4、IPv4地址可以被表示成點(diǎn)分十進(jìn)制或者使用主機(jī)名表示。 例如：5、當(dāng)使用IPv4子網(wǎng)劃分的時(shí)候，CIDR（Classless InterDomain Routing ）表示法也可以使用。 例如：以下的過濾器可以找到所有129.111的數(shù)據(jù)包： 斜線后面的數(shù)字用于表示子網(wǎng)占用的比特?cái)?shù)。CIDR表示法也用于查找主機(jī)名，例如C類網(wǎng)絡(luò)中主機(jī)“sneezy”的IP地址。6、雙引號(hào)封裝字符串。 例如：eth.dsteqff:ff:ff:ff:ff:ffaim.data = 0.1.0.dfddi.src = aa-aa-aa-aa-aa-aaecho.data eq 7aip.dst eq ip.src = ip.addr/16ip.addr eq sneezy/24http.request.method = GETsnmp | dns | icmp 常用表達(dá)舉例：顯示SNMP或DNS或ICMP封包。 ip.addr = 顯示來源或目的IP地址為的封包。 ip.src != or ip.dst