Wireshark 抓包過濾器學習

2022-02-01 01:45:39 字數 2838 閱讀 6662

wireshark中,分為兩種過濾器:捕獲過濾器顯示過濾器

捕獲過濾器是指wireshark一開始在抓包時,就確定要抓取哪些型別的包;對於不需要的,不進行抓取。

顯示過濾器是指wireshark對所有的包都進行抓取,當使用者分析資料報的資訊,便於篩選出需要的資料報。

總結來說,捕獲過濾器是在使用者開始任務之前就要使用的規則;而顯示過濾器是任務開始之後(無論是否已完成)要使用的規則。

1、語法結構

注:若不指定,預設使用所有支援的協議

src,dst,src and dst,src or dst

注:若不指定,預設使用雙向(src or host)

net,port,host,portrange

注:若不指定,預設所有(host)

and,or,not

注:not優先順序最高,or和not優先順序相等,從左至右依次運算

其他的過濾條件,當有多重表達條件時與logica operatios 一起連用

2、使用示例
host 192.168.1.1  //只抓取源/目的ip為192.168.1.1的資料報


src host 192.168.1.1 && dst host 192.168.1.2  //只抓取源ip為192.168.1.1,目的ip為192.168.1.2的資料報


net 192.168.1.0/24 net  //用於表示乙個網段


!port 80  //不抓取埠為80的資料報


tcp portrange 1-1024  //只抓取使用tcp協議的1-1024埠的資料報


dst port 80  //只抓取目標埠為80的所有資料報


src host 192.168.1.5 && port 443   //抓取所有源ip為192.168.1.5,並且與443埠有關的資料報


tcp,udp,icmp,arp  //直接輸入某乙個協議,則只抓取該協議的資料報


!brocast  //使用邏輯非運算子,不抓取廣播包


1、使用示例


==(eq)  //等於,equal


!=(ne)  //不等於,no equal


>(gt)  //大於,great than


>=(ge)  //大於等於,great equal


<=(le)  //小於等於,less equal


&&  //邏輯「與」運算


||  //邏輯「或」運算


!  //邏輯「非」運算


ip.addr==192.168.1.3  //只顯示源/目的ip為192.168.1.3的資料報


not ip.src==1.1.1.1  //不顯示源ip為1.1.1.1的資料報


ip.src==1.1.1.1 or ip.dst==1.1.1.2  //只顯示源ip為1.1.1.1或目的ip為1.1.1.2的資料報


tcp.port eq 80  //只顯示源/目的埠為80的資料報


tcp.dstport==80  //只顯示目的埠為80的資料報


tcp.srcport


tcp.port >=1 and tcp.port<=80  //只顯示源/目的埠大於等於1,小於等於80的資料報


eth.dst==a0:00:00:04:c5:84  //只顯示目的mac為a0:00:00:04:c5:84 的資料報


eth.addr eq a0:00:00:04:c5:84  //作用同上


tcp、ip、dhcp、oicq、ftp、ssl等等


udp || icmp || dns  //只顯示udp、icmp、dns相關協議的資料報


not arp 等於 !arp  //不顯示arp協議的資料報


tcp.flags.syn == 0x02  //顯示包含syn標誌位的資料報


frame.len==119  //整個資料報長度,從eth開始到最後


http.request.method=="get"  //顯示http請求中method值為get的包


2、注意事項


參考
 
Wireshark網路抓包 二 過濾器
圖 img 圖 img 1 捕獲單個ip位址 2 捕獲ip位址範圍 圖 img 3 捕獲廣播或多播位址 圖 img 4 捕獲mac位址 圖 img 5 捕獲所有埠號 圖 img 6 捕獲特定icmp資料 當網路 現效能或安全問題時,將會看到icmp 網際網路控制訊息協議 在這種情況下,使用者必須使用...


wireshark 抓包過濾器使用
過濾器分為抓包過濾器和顯示過濾器,抓包過濾器會將不滿足過濾條件的包丟棄,只保留滿足條件的包,而顯示過濾器則是對已抓取的包做過濾,過濾出滿足條件的包。顯示過濾器可以保留全部的報資料,方便後期做流量分析,而抓包過濾器保留的資料有限,後期分析有侷限性。wireshark抓包是基於其內部的libpcap w...


wireshark中的抓包過濾器和顯示過濾器
一 抓包過濾器 語法說明 bpf語法 berkeley packet filter 型別tpye host,net,port 方向dir src,dst 協議proto ether,ip,tcp,udp,http,ftp 邏輯運算子 與,或,非 host 192.168.1.11 host 192....