我们正在与一家外部公司整合,必须对其做出某些 IP 和端口限制。
首先,我是网络管理的新手,所以如果我做错了什么,请原谅我。
我正在使用 Wireshark 尝试捕获传入我的机器的流量,并看到一篇使用以下过滤表达式的帖子:
(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp
如果我正在检查端口 80 上的入站 HTTP 帖子...这是否足够?此外,如果我还想检查端口 443 上的入站 HTTPS 帖子,我该如何修改它?
提前致谢。
答案1
您需要区分捕获过滤器和显示过滤器。您在此处显示的语法是 Wireshark 显示过滤器。显示过滤器用于过滤显示中的流量,但不用于过滤捕获期间的流量。您可以了解有关 Wireshark 显示过滤器的更多信息来自 Wireshark 维基。
如果您要进行长期捕获,并且想要限制捕获文件的大小,您可能需要使用捕获过滤器。Wireshark 捕获过滤器使用 tcpdump 过滤器语法,因此一篇关于 tcpdump 过滤器的文章将会帮助你。
例如,要仅捕获往返于主机 10.0.0.1 的 HTTP 流量,您可以使用捕获过滤器host 10.0.0.1 and tcp and port 80。如果您希望其中包括 HTTPS 流量(TCP 端口 443),则可以将其修改为 host 10.0.0.1 and tcp and (port 80 or port 443)。
对于仅使用 HTTP 执行相同操作的显示过滤器,您需要查看ip.addr == 10.0.0.1 && tcp.port == 80。对于 HTTP 和 HTTPS,您需要查看ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443)。