Wiresahrk抓包過濾技術

2021-09-21 05:13:02 字數 3179 閱讀 4734

一、抓包過濾器

捕捉過濾器(capturefilters):用於決定將什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定

顯示過濾器(displayfilters):在捕捉結果中進行詳細查詢。他們可以在得到捕捉結果後隨意修改

捕捉過濾器是資料經過的第一層過濾器,它用於控制捕捉資料的數量,以避免產生過大的日誌檔案

顯示過濾器是一種更為強大(複雜)的過濾器。它允許您在日誌檔案中迅速準確地找到所需要的記錄

語法:    protocol    direction    host(s)    value    logical operations    other expression

例子:       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

協議:ether、 ip、arp、 rarp、tcp and udp等沒有特別指明什麼協議,預設抓取所有協議

方向:src、dst、 src and dst(沒有特別指明源或目的地,預設為「src or dst」 作為關鍵字)

型別:net、 port、host、portrange(沒有指定此值,預設使用」host」關鍵字)

邏輯運算子:not非!、 and與||、 or或&&

src portrange 2000-2500顯示**為udp或tcp,並且埠號在2000至2500範圍內的封包

抓包過濾器操作步驟

二、流量不大的時候使用顯示過濾器

語法:    protocol.string 1.string 2 comparisonoperator    value    logicaloperations  

例子:    ip.src.addr             ==        10.1.1.1    and   

==等於

!=不等於

>=大於等於

<=小於等於

and兩個條件同時滿足

or其中乙個條件被滿足

not沒有條件被滿足

埠過濾:tcp.port、tcp.srcport、tcp.flag.syn等

顯示過濾器操作步驟

如果不熟悉表示式

1、過濾埠

tcp.port == 80 #不管埠是**的還是目標的都顯示

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 #只顯tcp協議的目標埠80

tcp.srcport == 80 #只顯tcp協議的**埠80

tcp.port >= 1 and tcp.port <= 80 #過濾埠範圍

2、過濾mac

太以網頭過濾

eth.dst == e4:d5:3d:a2:64:95 #過濾目標mac

eth.src eq e4:d5:3d:a2:64:95 #過濾**mac

eth.addr eq e4:d5:3d:a2:64:95 #過濾**mac和目標mac都等於a0:00:00:04:c5:84的

!eth.addr==e4:d5:3d:a2:64:95 #忽略mac

3、過濾ip

ip.src == 192.168.0.104 過濾ip為192.168.0.104

4、包長度過濾

udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和

tcp.len >= 7   指的是ip資料報(tcp下面那塊資料),不包括tcp本身

ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後

frame.len == 119 整個資料報長度,從eth開始到最後

eth —> ip or arp —> tcp or udp —> data

5、http模式過濾

以尋找偽造dhcp伺服器為例,在顯示過濾器中加入過濾規則,

顯示所有非來自dhcp伺服器並且bootp.type==0x02(offer/ack/nak)的資訊:

bootp.type==0x02 and not ip.src==192.168.1.1

7、檢視dns流量

dns.flags==0x0100

network monitor:通過乙個內建程式來執行的網路分析器(該程式在作業系統安裝盤的「administrator tool」資料夾中,但它不是預設安裝的,因此需要從安裝盤中新增安裝)

qq檔案無法訪問

1、通過network monitor獲取到軟體的互動資料ip和埠範圍

(此network monitor類似wireshark抓包工具)

2、將資料報匯入到wireshark裡面進行分析

3、通過ip和埠等條件對資料報進行過濾

4、根據資料流,對資料流進行分析

Wiresahrk抓包工具

您可以從wikipedia url 上得到更多關於wireshark的資訊。wireshark簡介 wireshark是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路中的資料,並為使用者提供關於網路和上層協議的各種資訊。與很多其他網路工具一樣,wireshark也使用 pcap networ...

Wiresahrk抓包工具

您可以從wikipedia url 上得到更多關於wireshark的資訊。wireshark簡介 wireshark是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路中的資料,並為使用者提供關於網路和上層協議的各種資訊。與很多其他網路工具一樣,wireshark也使用 pcap networ...

wireshark抓包過濾

抓指定主機icmp包 icmp and ip.host 192.168.168.65 抓指定主機tcp資料報 tcp and ip.host 172.16.10.222 tcp.flags 顯示包含tcp標誌的封包。tcp.flags.syn 0 02 顯示包含tcp syn標誌的封包。1 對源位址...