tshark過濾條件？那我就來解答一下吧跟著做就行了：tshark使用-f來指定捕捉包過濾規(guī)則，規(guī)則與tcpdump一樣，可以通過命令man pcap-filter來查得tshark使用-R來過濾已捕

tshark過濾條件？

那我就來解答一下吧跟著做就行了：

tshark使用-f來指定捕捉包過濾規(guī)則，規(guī)則與tcpdump一樣，可以通過命令man pcap-filter來查得tshark使用-R來過濾已捕捉到的包，與界面板wireshark的左上角Filter一致舉個(gè)栗子抓Mysql包命令如下：tshark -s 512 -i eth0 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.querytshark -s 512 -i em1 -n -f #39tcp dst port 3306#39 -R #39mysql.query#39 -T fields -e mysql.query過濾HTTP請求：# tshark #39tcp port 80 and (((ip[2:2] - ((ip[0]amp0xf)ltlt2)) - ((tcp[12]amp0xf0)gtgt2)) ! 0)#39 -R # #34G

為什么要過濾http？

過濾掉HTTP，這樣能使。網(wǎng)頁的鏈接看起來更加的流暢。

數(shù)據(jù)過濾原理是什么？

數(shù)據(jù)過濾功能是通過在DPI應(yīng)用profile中引用數(shù)據(jù)過濾策略，并在安全策略或?qū)ο蟛呗灾幸肈PI應(yīng)用profile來實(shí)現(xiàn)的，設(shè)備對報(bào)文進(jìn)行數(shù)據(jù)過濾處理的整體流程如下：

(1) 當(dāng)設(shè)備收到基于HTTP、FTP、SMTP等協(xié)議的報(bào)文時(shí)，設(shè)備將對匹配了策略的報(bào)文進(jìn)行數(shù)據(jù)過濾處理。有關(guān)安全策略的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“安全策略”；有關(guān)對象策略規(guī)則的詳細(xì)介紹請參見“安全配置指導(dǎo)”中的“對象策略”。

(2) 設(shè)備提取報(bào)文中的應(yīng)用層信息與數(shù)據(jù)過濾規(guī)則進(jìn)行匹配，并根據(jù)匹配結(jié)果對報(bào)文執(zhí)行動(dòng)作：

? 如果報(bào)文同時(shí)與多個(gè)規(guī)則匹配成功，則執(zhí)行這些規(guī)則中優(yōu)先級最高的動(dòng)作，動(dòng)作優(yōu)先級從高到低的順序?yàn)椋簛G棄 gt 放行，但是對于生成日志動(dòng)作只要匹配成功的規(guī)則中存在就會(huì)執(zhí)行。

? 如果報(bào)文只與一個(gè)規(guī)則匹配成功，則執(zhí)行此規(guī)則中指定的動(dòng)作。

? 如果報(bào)文未與任何數(shù)據(jù)過濾規(guī)則匹配成功，則設(shè)備直接允許報(bào)文通過。