Wireshark - 仅过滤端口 80 上的入站 HTTP 请求

Wireshark - 仅过滤端口 80 上的入站 HTTP 请求

我们正在与一家外部公司整合,必须对其做出某些 IP 和端口限制。

首先,我是网络管理的新手,所以如果我做错了什么,请原谅我。

我正在使用 Wireshark 尝试捕获传入我的机器的流量,并看到一篇使用以下过滤表达式的帖子:

(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp

如果我正在检查端口 80 上的入站 HTTP 帖子...这是否足够?此外,如果我还想检查端口 443 上的入站 HTTPS 帖子,我该如何修改它?

提前致谢。

答案1

您需要区分捕获过滤器和显示过滤器。您在此处显示的语法是 Wireshark 显示过滤器。显示过滤器用于过滤显示中的流量,但不用于过滤捕获期间的流量。您可以了解有关 Wireshark 显示过滤器的更多信息来自 Wireshark 维基

如果您要进行长期捕获,并且想要限制捕获文件的大小,您可能需要使用捕获过滤器。Wireshark 捕获过滤器使用 tcpdump 过滤器语法,因此一篇关于 tcpdump 过滤器的文章将会帮助你。

例如,要仅捕获往返于主机 10.0.0.1 的 HTTP 流量,您可以使用捕获过滤器host 10.0.0.1 and tcp and port 80。如果您希望其中包括 HTTPS 流量(TCP 端口 443),则可以将其修改为 host 10.0.0.1 and tcp and (port 80 or port 443)

对于仅使用 HTTP 执行相同操作的显示过滤器,您需要查看ip.addr == 10.0.0.1 && tcp.port == 80。对于 HTTP 和 HTTPS,您需要查看ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443)

相关内容