Фильтрацию, применяемую в программе Wireshark можно условно разделить на две категории:
• Фильтрация по определённым протоколам.
• Фильтрация по определённым значениям полей в заголовках протоколов.
Для применения фильтрации по определённому протоколу необходимо ввести имя протокола в поле ввода фильтра.
Пример выполнения фильтрации по протоколу HTTP показан на рисунках 18 и 19.
Рисунок 18. Вывод программы до применения фильтра.
Рисунок 19. Вывод программы после применения фильтра.
Фильтрация по определённому значению поля в заголовках протоколов строится по следующему синтаксису:
Поле ̺ Оператор сравнения ̺ Значение
Некоторые обозначения полей и операторы сравнения, которые могут использоваться при построении фильтров, представлены в таблицах ниже.
Таблица 3. Краткий перечень обозначения полей.
Таблица 4.Операторы сравнения
Оператор
Значение
Примеры
= =
eq
Равно
ip.addr==192.168.1.1
Отображать только те пакеты протокола IP, в которых сетевой адрес отправителя или получателя равен 192.168.1.1
eth.dst==ff:ff:ff:ff:ff:ff
Отображать только широковещательный (broadcast) кадры протокола Ethernet.
!=
ne
Не равно
ip.dst==255.255.255.255
Не отображать широковещательные (broadcast) пакеты протокола IP
˃
gt
Больше
tcp.dstport˃10000
Отображать только те дейтаграммы протокола TCP, в которых порт получателя больше 10000
˂
lt
Меньше
tcp.dstport˂1024
Отображать только те дейтаграммы протокола TCP, в которых порт получателя меньше 1024
При построении фильтра можно комбинировать два и более условия, используя логические операторы. Комбинирование условий при построении операторов производится по следующему принципу: