抓包工具 wireshark

2021-09-02 13:18:00 字數 2303 閱讀 2010

wireshark

過濾器語法: protocol direction host(s) value logical operations other expression

例子: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128

protocol(協議):

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果沒有特別指明是什麼協議,則預設使用所有支援的協議。

direction(方向):

可能的值: src, dst, src and dst, src or dst

如果沒有特別指明**或目的地,則預設使用 "src or dst" 作為關鍵字。

例如,"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。 host(s):

可能的值: net, port, host, portrange.

如果沒有指定此值,則預設使用"host"關鍵字。

例如,"src 10.1.1.1"與"src host 10.1.1.1"相同。

logical operations(邏輯運算):

可能的值:not, and, or.

否("not")具有最高的優先順序。或("or")和與("and")具有相同的優先順序,運算時從左至右進行。

例如,"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。

"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

例子tcp dst port 3128

顯示目的tcp埠為3128的封包。

ip src host 10.1.1.1

host 10.1.2.3

src portrange 2000-2500

顯示**為udp或tcp,並且埠號在2000至2500範圍內的封包。

not imcp

顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示**ip為10.4.1.12或者**網路為10.6.0.0/16,目的地tcp埠號在200至10000之間,並且目的位於網路10.0.0.0/8內的所有封包。

注意事項:

當使用關鍵字作為值時,需使用反斜槓「\」。

"ether proto \ip" (與關鍵字"ip"相同).

這樣寫將會以ip協議作為目標。

"ip proto \icmp" (與關鍵字"icmp"相同).

這樣寫將會以ping工具常用的icmp作為目標。

可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。

當您想排除廣播請求時,"no broadcast"就會非常有用。

檢視 tcpdump的主頁以獲得更詳細的捕捉過濾器語法說明。

在wiki wireshark website上可以找到更多捕捉過濾器的例子。

----------------------------------------

過濾顯示

snmp || dns || icmp

顯示snmp或dns或icmp封包。

ip.addr == 10.1.1.1

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示**不為10.1.2.3或者目的不為10.4.5.6的封包。

換句話說,顯示的封包將會為:

以及ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

顯示**不為10.1.2.3並且目的ip不為10.4.5.6的封包。

換句話說,顯示的封包將會為:

tcp.port == 25

顯示**或目的tcp埠號為25的封包。

tcp.dstport == 25

顯示目的tcp埠號為25的封包。

tcp.flags

顯示包含tcp標誌的封包。

tcp.flags.syn == 0x02

顯示包含tcp syn標誌的封包。

網路抓包工具 wireshark

wireshark 前稱ethereal 是乙個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。wireshark使用winpcap作為介面,直接與網絡卡進行資料報文交換。此工具支援多種網路介面型別,捕捉多種網路介面型別的包。1.開啟介面 2.選擇抓包介...

網路抓包工具 Wireshark學習資料

wireshark乙個非常牛逼的網路抓包工具。一系列博文 一站式學習wireshark 一 wireshark基本用法 一站式學習wireshark 二 應用wireshark觀察基本網路協議 一站式學習wireshark 三 應用wireshark io圖形工具分析資料流 一站式學習wiresha...

抓包工具wireshark簡要使用(一)

2 安裝 預設安裝,下一步確定一直點,在安裝過程中,自動勾選winpcap要裝 一開始還以為winpcap是附帶的沒用的軟體,結果發現執行wireshark是要用到這個的,否則執行wireshark後無法抓包。3 執行 1 啟動 首頁上面有網絡卡列表,和start按鈕,選擇乙個網絡卡按start即可...