1.
過濾ip,如**ip或者目標ip等於某個ip
例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者ip.addr eq 192.168.1.107 // 都能顯示**ip和目標ip
2.過濾埠
例子:tcp.port eq 80 // 不管埠是**的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的**埠80
udp.port eq 15000
過濾埠範圍
tcp.port >= 1 and tcp.port <= 80
3.過濾協議
例子:tcp
等等排除arp包,如!arp 或者 not arp
4.過濾mac
太以網頭過濾
eth.dst == a0:00:00:04:c5:84 // 過濾目標mac
eth.src eq a0:00:00:04:c5:84 // 過濾**mac
eth.dst==a0:00:00:04:c5:84
eth.dst==a0-00-00-04-c5-84
eth.addr eq a0:00:00:04:c5:84 // 過濾**mac和目標mac都等於a0:00:00:04:c5:84的
less than 小於 < lt
小於等於 le
等於 eq
大於 gt
大於等於 ge
不等 ne
5.包長度過濾
例子:udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後
eth ---> ip or arp ---> tcp or udp ---> data
6.http模式過濾
例子:http.request.method == "get"
// get包
// post包
// 響應包
一定包含如下
content-type:
7.tcp引數過濾
tcp.flags 顯示包含tcp標誌的封包。
tcp.flags.syn == 0x02 顯示包含tcp syn標誌的封包。
tcp.window_size == 0 && tcp.flags.reset != 1
8.過濾內容
tcp[20]表示從20開始,取1個字元
tcp[20:]表示從20開始,取1個字元以上
tcp[20:8]表示從20開始,取8個字元
tcp[offset,n]
udp[8:3]==81:60:03 // 偏移8個bytes,再取3個數,是否與==後面的資料相等?
udp[8:1]==32 如果我猜的沒有錯的話,應該是udp[offset:擷取個數]=nvalue
eth.addr[0:3]==00:06:5
wireshark抓包過濾
抓指定主機icmp包 icmp and ip.host 192.168.168.65 抓指定主機tcp資料報 tcp and ip.host 172.16.10.222 tcp.flags 顯示包含tcp標誌的封包。tcp.flags.syn 0 02 顯示包含tcp syn標誌的封包。1 對源位址...
Wireshark 抓包過濾規則
一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...
抓包軟體Wireshark常用過濾使用方法命令
抓包軟體wireshark常用過濾使用方法命令 過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢目的位址為192.168.101.8的包,ip.dst192.168.101.8 查詢源位址為ip.src1.1.1.1 埠過濾。如過濾80埠,在filter中輸入...