我们正在与一家外部公司进行整合,在该公司中我们必须做出某些 IP 和端口限制。
首先,我是网络管理新手,所以如果我屠宰了什么,请原谅我。
我正在使用 Wireshark 尝试捕获传入我的机器的流量,并遇到了使用以下过滤器表达式的帖子:
(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp
如果我正在检查端口 80 上的入站 HTTP Post……这是否足够?此外,如果我还想检查端口 443 上的入站 HTTPS 帖子,我该如何修改?
提前致谢。
您需要区分捕获过滤器和显示过滤器。您在那里显示的语法是一个 Wireshark 显示过滤器。显示过滤器用于从显示中过滤掉流量,但不用于在捕获期间过滤掉流量。您可以从 Wireshark wiki了解有关 Wireshark 显示过滤器的更多信息。
如果您要进行长期捕获并且想要限制捕获文件的大小,您可能需要使用捕获过滤器。Wireshark 捕获过滤器使用 tcpdump 过滤器语法,因此有关 tcpdump 过滤器的文章将帮助您。
例如,要仅捕获进出主机 10.0.0.1 的 HTTP 流量,您可以使用捕获过滤器host 10.0.0.1 and tcp and port 80。如果您希望它包含 HTTPS 流量(TCP 端口 443),您可以将其修改为读取 host 10.0.0.1 and tcp and (port 80 or port 443).
对于仅使用 HTTP 执行相同操作的显示过滤器,您需要查看ip.addr == 10.0.0.1 && tcp.port == 80. 对于 HTTP 和 HTTPS,您将查看ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443).