Wireshark 常用過濾使用方法

2021-09-29 16:19:06 字數 2689 閱讀 9029

過濾源 ip、目的 ip

在 wireshark 的過濾規則框 filter 中輸入過濾條件。

如查詢目的位址為192.168.101.8的包,ip.dst==192.168.101.8

查詢源位址為ip.src==1.1.1.1埠過濾

如過濾 80 埠,在 filter 中輸入,tcp.port==80,這條規則是把源埠和目的埠為80的都過濾出來。

使用tcp.dstport==80只過濾目的埠為 80 的,tcp.srcport==80只過濾源埠為 80 的包

協議過濾

比較簡單,直接在filter框中直接輸入協議名即可,如過濾http的協議

http 模式過濾

如過濾 get 包,http.request.method=="get",過濾 post 包,http.request.method=="post"連線符 and 的使用

過濾兩種條件時,使用and連線,如過濾ip192.168.101.8並且為http協議的,ip.src==192.168.101.8 and http調整時間格式

根據時間字段,然後再排序下

根據埠過濾

服務端埠是 7018,和客戶端建立socket連線,根據服務端的埠找到2者通訊的所有socket資料(客戶端進入房間後會異常斷開,判斷是客戶端導致的還是服務端導致的)

tcp.port==7018,最後的rst報文是服務端發起的,說明是服務端主動斷開的,縮小問題範圍

僅從抓包資訊看是伺服器的乙個流量控制機制啟動了。伺服器發回rst位,同時win置為0,是告訴客戶端不要發包。按tcp流控機制來說,此時客戶端應該停止發包,直至伺服器傳送資訊告訴客戶端可以繼續傳送。

三次握手:傳送端傳送乙個syn=1,ack=0標誌的資料報給接收端,請求進行連線,這是第一次握手;

接收端收到請求並且允許連線的話,就會傳送乙個syn=1,ack=1標誌的資料報給傳送端,告訴它,可以通訊了,並且讓傳送端傳送乙個確認資料報,這是第二次握手;

最後,傳送端傳送乙個syn=0,ack=1的資料報給接收端,告訴它連線已被確認,這就是第三次握手。之後,乙個tcp連線建立,開始通訊。

*syn:同步標誌

同步序列編號(synchronize sequence numbers)欄有效。該標誌僅在三次握手建立tcp連線時有效。它提示tcp連線的服務端檢查序列編號,該序列編號為tcp連線初始端(一般是客戶端)的初始序列編號。

在這裡,可以把 tcp序列編號看作是乙個範圍從0到4,294,967,295的32位計數器。通過tcp連線交換的資料中每乙個位元組都經過序列編號。

在tcp報頭中的序列編號欄包括了tcp分段中第乙個位元組的序列編號。

*ack:確認標誌

確認編號(acknowledgement number)欄有效。大多數情況下該標誌位是置位的。tcp報頭內的確認編號欄內包含的確認編號(w+1,figure-1)為下乙個預期的序列編號,同時提示遠端系統已經成功接收所有資料。

*rst:復位標誌

復位標誌有效。用於復位相應的tcp連線。

*urg:緊急標誌

緊急(the urgent pointer) 標誌有效。緊急標誌置位,

*psh:推標誌

該標誌置位時,接收端不將該資料進行佇列處理,而是盡可能快將資料轉由應用處理。在處理 telnet 或 rlogin 等互動模式的連線時,該標誌總是置位的。

*fin:結束標誌

帶有該標誌置位的資料報用來結束乙個tcp回話,但對應埠仍處於開放狀態,準備接收後續資料。

tcp的幾個狀態對於我們分析所起的作用。在tcp層,有個flags欄位,這個欄位有以下幾個標識:syn, fin, ack, psh, rst, urg.其中,對於我們日常的分析有用的就是前面的五個字段。它們的含義是:syn表示建立連線,fin表示關閉連線,ack表示響應,psh表示有 data資料傳輸,rst表示連線重置。

其中,ack是可能與syn,fin等同時使用的,比如syn和ack可能同時為1,它表示的就是建立連線之後的響應,如果只是單個的乙個syn,它表示的只是建立連線。

tcp的幾次握手就是通過這樣的ack表現出來的。但syn與fin是不會同時為1的,因為前者表示的是建立連線,而後者表示的是斷開連線。

rst一般是在fin之後才會出現為1的情況,表示的是連線重置。一般地,當出現fin包或rst包時,我們便認為客戶端與伺服器端斷開了連線;

而當出現syn和syn+ack包時,我們認為客戶端與伺服器建立了乙個連線。

psh為1的情況,一般只出現在data內容不為0的包中,也就是說psh為1表示的是有真正的tcp資料報內容被傳遞。tcp的連線建立和連線關閉,都是通過請求-響應的模式完成的。

wireshark 常用過濾命令

1.過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢目的位址為192.168.101.8的包,ip.dst 192.168.101.8 查詢源位址為ip.src 1.1.1.1 2.埠過濾。如過濾80埠,在filter中輸入,tcp.port 80,這條規則是...

wireShark常用過濾規則

在filter框中輸入過濾條件可以指定顯示滿足條件的資料報 1.過濾源ip ip.src 192.186.0.107,則只顯示源ip等於192.186.0.107的資料報 2.過濾目的ip ip.dst 192.186.0.101,則只顯示目的ip等於192.186.0.101的資料報 3.埠過濾 ...

Wireshark 常用過濾方法

說明 在wireshark的過濾規則框filter中輸入過濾條件 指定目的地ip.dst 192.168.1.104指定源位址ip.src 178.212.3.56源埠 目的埠為80的都過濾 tcp.port 80過濾目的80埠 tcp.dstport 80 過濾源80埠 tcp.srcport 8...