wireshark 抓包分析過濾規則大全

一、過濾http報文

**http.host==6san.com //過濾經過指定網域名稱的http資料報，這裡的host值不一定是請求中的網域名稱 //過濾http響應狀態碼為302的資料報 //過濾所有的http響應包 //過濾所有的http請求，貌似也可以使用http.request //wireshark過濾所有請求方式為post的http請求包，注意post為大寫 //過濾含有指定cookie的http資料報 //過濾請求的uri，取值是網域名稱後的部分 //過濾含網域名稱的整個url則需要使用http.request.full_uri //過濾http頭中server欄位含有nginx字元的資料報 //過濾content_type是text/html的http響應、post包，即根據檔案型別過濾http資料報 //過濾content_encoding是gzip的http包 //根據transfer_encoding過濾 //根據content_length的數值過濾 //過濾所有含有http頭中含有server欄位的資料報 //過濾http/1.1版本的http包，包括請求和響應

//過濾http響應中的phrase**

二、過濾埠

tcp.port eq 80   //顯示源埠和目的埠為80的報文都顯示
tcp.port == 80
tcp.port == 80 or udp.port==443 
tcp.dstport==80 //只顯示tcp協議的目標埠80
tcp.srcport==80 //只顯示tcp協議的**埠80
tcp.port >=1 and tcp.port <=80 //過濾埠範圍

三、過濾協議

tcp

bootp

四、過濾mac位址

eth.dst == a0:00:00:04:c5:84 // 過濾目標mac
eth.src eq a0:00:00:04:c5:84 // 過濾**mac
eth.dst==a0:00:00:04:c5:84
eth.dst==a0-00-00-04-c5-84
eth.addr eq a0:00:00:04:c5:84 // 過濾**mac和目標mac都等於a0:00:00:04:c5:84的

五、比較操作符

lt less than:小於 gt 大於

ne:等於

六、報文長度過濾

udp.length ==100 // 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後

七、and or匹配

and 符號 並
or 符號 或
tcp and tcp.port==80
tcp or udp

八、匹配tcp引數

tcp.flags 顯示包含tcp標誌的封包。 
tcp.flags.syn == 0x02 顯示包含tcp syn標誌的封包。 tcp.window_size == 0 && tcp.flags.reset != 1

九、過濾報文內容

tcp[20] 表示從20開始，取1個字元
tcp[20:]表示從20開始，取1個字元以上
tcp[20:8]表示從20開始，取8個字元
tcp[offset,n]
eth.addr[0:3]==00:06:5b
udp[8]==14 (14是十六進製制0x14)匹配payload第乙個位元組0x14的udp資料報
udp[8:2]==14:05 可以udp[8:2]==1405，且只支援2個位元組連續，三個以上須使用冒號：分隔表示十六進製制。 (相當於 udp[8]==14 and udp[9]==05,1405是0x1405)
udp[8:3]==22:00:f7 但是不可以udp[8:3]==2200f7
udp[8:4]==00:04:00:2a，匹配payload的前4個位元組0x0004002a
而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的udp資料報，不一定是從第一位元組匹配

wireshark 抓包分析過濾規則大全

wireshark抓包分析過濾https資料報

wireshark抓包過濾

Wireshark 抓包過濾規則

wireshark 抓包分析 過濾規則大全

wireshark抓包分析 過濾https資料報

wireshark抓包過濾

Wireshark 抓包過濾規則

相關推薦

wireshark 抓包分析過濾規則大全

wireshark抓包分析過濾https資料報