wireshark的過濾器規則學習小結

2021-09-24 19:59:26 字數 3289 閱讀 8642

關於wireshark的過濾器規則學習小結

前言

這兩天一直在熟悉wireshark的過濾器語法規則,以前也接觸過這個工具,但只是學校老師教的如何去選擇乙個介面進行抓取,以及如何去分析乙個包的資料。可惜當時對此也沒有過多深入。對於我當前,並未接觸太多的功能,現在只是對這兩天學到的一些簡單的過濾規則做乙個總結。

\1. 測試環境說明

圖:img

\2. 過濾器規則說明

目前網路上對於wireshark的流程使用實在太多,在此也就不再贅述,現只針對過濾器的一些簡單使用規則進行一些舉例說明。

要注意的是wireshark中,分為兩種過濾器:捕獲過濾器和顯示過濾器。

捕獲過濾器】是指wireshark一開始在抓包時,就確定要抓取哪些型別的包;對於不需要的,不進行抓取;

顯示過濾器】是指wireshark對所有的包都進行抓取,當使用者分析資料報的資訊,便於篩選出需要的資料報。

總結來說,捕獲過濾器是在使用者開始任務之前就要使用的規則;而顯示過濾器是任務開始之後(無論是否已完成)要使用的規則。

兩種過濾器語法規則不盡相同,下面做出一些示例:

a)**捕獲過濾器**

圖:img

1)語法結構

圖:img

protocols

ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp

注:若不指定,預設使用所有支援的協議

direction

src,dst,src and dst,src or dst

注:若不指定,預設使用雙向(src or host)

host

net,port,host,portrange

注:若不指定,預設所有(host)

logical operations

and,or,not

注:not優先順序最高,or和not優先順序相等,從左至右依次運算

other expression

其他的過濾條件,當有多重表達條件時與logica operatios 一起連用

2)使用示例

過濾位址

host 192.168.1.1  //只抓取源/目的ip為192.168.1.1的資料報

src host 192.168.1.1 && dst host 192.168.1.2  //只抓取源ip為192.168.1.1,目的ip為192.168.1.2的資料報

net 192.168.1.0/24 net  //用於表示乙個網段

過濾埠

!port 80  //不抓取埠為80的資料報

tcp portrange 1-1024  //只抓取使用tcp協議的1-1024埠的資料報

dst port 80  //只抓取目標埠為80的所有資料報

src host 192.168.1.5 && port 443   //抓取所有源ip為192.168.1.5,並且與443埠有關的資料報

過濾協議

tcp,udp,icmp,arp  //直接輸入某乙個協議,則只抓取該協議的資料報

!brocast  //使用邏輯非運算子,不抓取廣播包

b)顯示過濾器

圖:img

1)使用示例

可使用連線符

==(eq)  //等於,equal

!=(ne)  //不等於,no equal

>(gt)  //大於,great than

>=(ge)  //大於等於,great equal

<=(le)  //小於等於,less equal

&&  //邏輯「與」運算

||  //邏輯「或」運算

!  //邏輯「非」運算

過濾ip位址

ip.addr==192.168.1.3  //只顯示源/目的ip為192.168.1.3的資料報

not ip.src==1.1.1.1  //不顯示源ip為1.1.1.1的資料報

ip.src==1.1.1.1 or ip.dst==1.1.1.2  //只顯示源ip為1.1.1.1或目的ip為1.1.1.2的資料報

過濾埠

tcp.port eq 80  //只顯示源/目的埠為80的資料報

tcp.dstport==80  //只顯示目的埠為80的資料報

tcp.srcport

tcp.port >=1 and tcp.port<=80  //只顯示源/目的埠大於等於1,小於等於80的資料報

過濾mac位址

eth.dst==a0:00:00:04:c5:84  //只顯示目的mac為a0:00:00:04:c5:84 的資料報

eth.addr eq a0:00:00:04:c5:84  //作用同上

過濾協議類別

tcp、ip、dhcp、oicq、ftp、ssl等等

udp || icmp || dns  //只顯示udp、icmp、dns相關協議的資料報

not arp 等於 !arp  //不顯示arp協議的資料報

過濾協議引數

tcp.flags.syn == 0x02  //顯示包含syn標誌位的資料報

frame.len==119  //整個資料報長度,從eth開始到最後

http.request.method=="get"  //顯示http請求中method值為get的包

圖:img

c)注意事項

1)捕獲過濾器對於乙個選項的引數之間使用空格進行連線

圖:img

2)顯示過濾器對於乙個選項的引數之間使用點」.」進行連線

圖:img

3) 輸入過濾器規則時,如果語法正確,底色顯示為綠色;如果語法錯誤,顯示為紅色。

4) 使用捕獲過濾器時,要先選擇要捕獲的介面,再填寫過濾器規則

圖:img

圖:img

Wireshark過濾器使用規則介紹

使用wireshark時最常見的問題,是當您使用預設設定時,會得到大量冗餘資訊,以至於很難找到自己需要的部分。這就是為什麼過濾器會如此重要。它們可以幫助我們在龐雜的結果中迅速找到我們需要的資訊。捕捉過濾器 capturefilters 用於決定將什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定。顯...

WireShark過濾器選項

首先說幾個最常用的關鍵字,eq 和 等同,可以使用 and 表示並且,or 表示或者。和 not 都表示取反。一 針對wireshark最常用的自然是針對ip位址的過濾。其中有幾種情況 1 對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。表示式為 ip.src 192.168....

wireshark 捕獲過濾器

在wireshark中往往會抓到很多資料,這時我們就需要用到過濾器filter來篩選出我們所關心的資料報。wireshark提供了兩種過濾器 捕獲過濾器 在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。顯示過濾器 在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料...