Wireshark 数据包分析学习笔记 Day17

显示过滤器的基本构成包括 3 部分，分别是过滤器字段、运算符和值。

“显示过滤器表达式”对话框包括 7 部分信息，分别是字段名称、关系、值、预定义的值、范围、搜索和显示过滤器文本框。

当用户根据以太网地址显示过滤时，指定的值有 3 种形式，分别是使用冒号、点或破折号分隔 6 个字节。

使用冒号：eth.dst==ff:ff:ff:ff:ff:ff；

使用破折号：eth.dst==ff-ff-ff-ff-ff-ff；

使用点号：eth.dst==ffff.ffff.ffff。

当用户根据文本字符串显示过滤时，可以使用双引号、contains、matches、~或 &符号。

使用 contains 指定一个 UDP 头部包括三位序列 0x81、0x60 和 0x03 的包，则语法格式如下：upd contains 81:06:03

用户在使用显示过滤器时，还可以使用 in 来指定一个范围过滤器。其中，该范围过滤器的值由花括号（{}）括起来。例如，过滤端口为 80、443 和 8080 的包，语法格式如下：

Tcp.port in {80 443 8080}。

转换 HTTP 请求服务中包含 apache 的字符串并转换为小写，语法格式如下：

Lower(http.server) contains “apache” 。

Support loopback traffic("Npcap Loopback Adapter"will be created)：支持捕获本地回环数据包。

Restrict Npcap driver's access to Administrators only：仅限制管理员可以访问 Npcap 驱动。

Support raw 802.11 traffic(and monitor mode)for wireless adapters：支持使用无线网卡捕获 802.11 流量，并且使用监听模式。

Install Npcap in WinPcap API-compatible Mode(WinPcap will beuninstalled)：在 WinPcap API 兼容模式下安装 Npcap，将卸载 WinPcap。

用户在捕获无线网络数据包时也可以根据基本信息进行捕获过滤。其中，IEEE 802.11 无线数据包是基于链路层进行过滤，可指定的传输方向为 ra、ta、addr1、addr2、addr3 和 addr4。

捕获到的无线数据包为 3 种类型，分别是关联帧、数据帧和控制帧。

WEP（Wired Equivalent Privacy，有线等效保密）是 IEEE802.11 标准定义的加密规范。这种加密方式包括两种认证方法，分别是开放系统认证（Open System authentication）和共享密钥认证（Shared Key Authentication）。

Airdecap-ng 是 Aircrack-ng 工具集中的一个工具，可以用来去除加密信息，使加密的数据包变成普通非加密数据包。另外，使用该工具进行解密时，捕获文件必须是.pcap 格式，不能使用 Wireshark 的默认格式.pcapng。