前言

Wireshark（前称Ethereal）是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下，用户可以以免费的代价获取软件与其代码，并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。

通过本次实验，小伙伴们将会get以下技能：

1）配置wireshark进行抓包显示过滤。

2）使用更为简洁的方式得到需要的显示语法。

3）Wireshark过滤后的数据导出到文件。

Wireshark有抓包过滤和显示过滤。抓包过滤是在抓包之前指定抓取什么样的包或者不抓取什么样的包。显示过滤是指将抓到的包进行二次过滤，只过滤出来符合要求的数据包。

从实际应用中来说，如果您需要专门对某个程序的通信过程记录，可以选择抓包过滤。但是，对于攻击者而言，往往不知道需要什么样的数据包，只能在审计之后确定，因此选用显示过滤而不是抓包过滤。

一、文件过滤01

任务描述：使用wireshark显示过滤提示框选择过滤语句。

1.双击displayFilterDemo文件，wireshark将会显示各项数据包的内容。
我们看到，图片中下方显示packets的数目为4481个。如果没有显示过滤的存在，就只能人为的一条一条去分析，对相同规则的数据表做标记，十分麻烦。

2.利用wireshark提供的显示包过滤这个功能。
可以在filter这个输入框中输入我们需要的过滤规则，当您填写的过滤规则没有被wireshark识别时，代表您的输入可能有误，这时候整个输入框就会显示成醒目的红色，如果您的输入是可以识别的，这时候就会显示成绿色。在输入的过程中，您会看到同时伴有下拉框，智能提示，里面都是用户下一步的输入，您可以直接选择感兴趣的内容，提高了速度。
3.整个包过滤语法的构成是：

（过滤内容(eg:tcp.port)+比较运算符+比较内容）+逻辑运算符+(下一条过滤语句)

（说明：关于比较运算符与逻辑运算符分别在预备知识3,4中提及）

因此，例如如果要过滤出所有使用tcp协议，端口为80的数据，使用的过滤器语法为：

tcp.port==80
这时候，显示的就全部是tcp端口为80的数据包了。

同样，可以使用表达式提示框选择需要的过滤内容。

初学者可能对于常见的表达式不太熟悉，没关系，wireshark提供了expression这个按钮，列出了所有支持的语法。
点击expression，后进入
左侧提供了过滤内容，箭头+可以展开。Relation栏需要用户选择一个合适的比较关系。右侧的value一栏可以让用户输入比较内容。

仍以上文tcp.port == 80为例。

首先在左栏找tcp协议。
按照首字母排序。可以很快速的找到tcp一栏。

在tcp的二级目录下，同样是按照首字母进行排序找到tcp.port一栏，选择之后点击中间的relation，选择==，这时候value输入框处于可编辑状态，填入需要的80即可。
点击ok。这时候返回到主页面中去，此时，过滤器已经将我们的操作解释成了wireshark能看懂的过滤语法
点击回车键，或者右侧的apply，就可以使用过滤功能。

当不需要过滤的时候，可以点击clear按钮，这时候，就会显示所有的数据包。