我们正在与一家外部公司进行整合,我们不得不做出一定的知识产权和港口限制。
首先,我是networkingpipe理的新手,所以如果我什么都杀了,请原谅我。
我正在使用Wireshark尝试捕获到我的机器的传入stream量,并遇到一个使用以下filterexpression式的post:
(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp 如果我正在检查端口80上的入站HTTP Post …是否足够? 此外,如果我另外想要检查端口443上的入站HTTPSpost,我将如何修改?
提前感谢。
您需要区分捕捉filter和显示filter。 你在那里显示的语法是一个Wireshark显示filter。 显示filter用于过滤显示的stream量,但不用于过滤stream量。 您可以从Wireshark wiki上了解更多有关Wireshark显示filter的信息 。
如果你打算做一个长期的捕获,并且想要限制捕获文件的大小,你可能需要使用捕获filter。 Wireshark捕获filter使用tcpdumpfilter语法,所以关于tcpdumpfilter的文章将帮助你。
例如,要捕获进出主机10.0.0.1的HTTPstream量,可以使用捕获筛选器host 10.0.0.1 and tcp and port 80 。 如果您希望包含HTTPSstream量(TCP端口443),则可以对其进行修改以读取host 10.0.0.1 and tcp and (port 80 or port 443) 。
对于显示filter做相同的事情瓦特/ HTTP只有你会看着ip.addr == 10.0.0.1 && tcp.port == 80 。 对于HTTP和HTTPS,你都会看到ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443) 。