文章目录

  • 简介
  • 捕获过滤器
  • 显示过滤器
  • 其他示例列举
    • 过滤MAC地址/物理地址

简介

Wireshark是windows下的抓包工具。

本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。

Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html

捕获过滤器

使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种:

  • 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
  • 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录

常用的捕获表达式

host 10.175.30.35 and tcp port 80    //捕捉目的或来源IP地址为10.175.30.35并且目的和来源TCP端口为80的封包
host 228.228.228.228                //捕捉目的或来源IP地址为228.228.228.228的封包
ip src host 10.175.30.35            //捕捉来源IP地址为10.175.30.35的封包
ip dst host 10.175.30.35            //捕捉目的IP地址为10.175.30.35的封包
tcp dst port 80                     //捕捉目的TCP端口为80的封包
src portrange 2000-2500             //捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
ether host e0-05-c5-44-b1-3c        //捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时,可以将这里的mac地址换成路由的mac地址即可。

Protocol(协议)
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。

Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。
例如,”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。

Host(s):
可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用”host”关键字。
例如,”src 10.1.1.1″与”src host 10.1.1.1″相同。

Logical Operations(逻辑运算):
可能的值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。

显示过滤器

使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。通过设置显示过滤器,过滤掉

常用的过滤表达式

#长度过滤、可过滤ack包
ip.src == 192.168.86.11  && tcp.len > 0 #过滤16进制数据
ip.addr == 117.149.147.100 and tcp contains 28:28:28:F7:27:00#ipv6
ipv6.addr == fe80::288b:5ff:feae:b18e || ipv6.addr == fe80::20c:29ff:fe99:6b57

协议过滤

tcp                          //显示tcp数据包
udp                         //显示udp数据包
snmp || dns || icmp         //显示SNMP或DNS或ICMP封包
http、dns、icmp、snmp……

IP过滤

ip.addr == 10.1.1.1        //显示来源或目的IP地址为10.1.1.1的封包
ip.src == 192.168.1.102   //显示源地址为192.168.1.102
ip.dst == 192.168.1.102   //显示目的地址为192.168.1.102
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6  //显示来源不为10.1.2.3或者目的不为10.4.5.6的封包

端口过滤

tcp.port == 80         //显示来源或目的TCP端口号为80的封包
tcp.dstport == 80         //显示目的TCP端口号为80的封包
tcp.srcport == 80,    //显示来源TCP端口号为80的封包

Http模式过滤

http.request.method=="GET"       //只显示HTTP GET方法的数据包

包长度过滤

比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

逻辑运算符为 AND/ OR

ip.src ==192.168.1.102 or ip.dst==192.168.1.102 //源地址或者目标地址是192.168.1.102

其他示例列举

过滤MAC地址/物理地址

该部分转自:https://blog.csdn.net/th_num/article/details/78753971

wireshark中根据MAC地址/物理地址过滤数据包,捕获过滤和显示过滤的语法如下:

wireshark捕获过滤中过滤MAC地址/物理地址

ether host 80:f6:2e:ce:3f:00 //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包

ether dst host 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包

ether src host 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包

wireshark显示过滤中过滤MAC地址/物理地址

eth.addr== 80:f6:2e:ce:3f:00 //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包

eth.src== 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包

eth.dst== 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包

参考资料:
https://www.cnblogs.com/doit8791/p/5730595.html
https://blog.csdn.net/cumirror/article/details/7054496
https://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html

  1. Wireshark过滤规则筛选数据包

Wireshark抓包过滤相关推荐

  1. wireshark抓包过滤指定的字节数据

    在使用wireshark抓包的时候,文本信息还好,但是遇到二进制的信息时,就需要对指定的字节信息进行过滤来找到你想要找的包了 tcp[20:4]==30:30:30:30 代表的意思是,TCP数据报文 ...

  2. Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例

    本文列举wireshark 常用的OSI三层抓包和显示过滤规则. Wireshark Information 封包详细信息 (Packet Details Pane) 这个面板是我们最重要的,用来查看 ...

  3. Wireshark抓包工具使用教程以及常用抓包规则

    Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的,所以今天讲述的内容可能无法直接帮你解决问题,但 ...

  4. Wireshark抓取数据包

    分析ICMP协议数据包 实验原理 ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议. 实 ...

  5. 通过wireshark抓包对nmap一些原理分析

    对目标主机的扫描是渗透过程中信息收集阶段的重要组成部分,由于现在大部分的网络都是基于TCP/IP协议栈的,所以根据TCP/IP协议栈的特性进行的扫描往往十分实用,nmap就是众多扫描工具中的佼佼者. ...

  6. Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)

    [网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持.MAC泛洪)及数据流追踪和图像抓取(二) 2019年09月22日 21:55:44 Eastmount 阅读数 3515 文章标签:  ...

  7. WireShark 抓包使用教程--详细

    WireShark 抓包使用教程--详细 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息.常用于开发测试过程各种问题定位.本文主要内容包括: 1.Wire ...

  8. Wireshark抓包页面的登录信息

    第一步:打开wireshark,选择网卡配置 第二步:使用捕获过滤器,只抓取源IP为本地主机的,开始wireshark抓包 菜单栏:捕获->选项->捕获窗口 第三步:打开登录网页,输入账号 ...

  9. Wireshark 实用篇2:Wireshark 抓包常用过滤命令

    目录 前言 正文 一.根据 IP 地址过滤 二.根据端口过滤 三.根据协议过滤 四.根据 Payload Type 条件过滤 五.根据组合条件过滤 六.实例分析 前言 使用 Wireshark 工具进 ...

最新文章

  1. awvs 13使用_如何解密AWVS?15行代码就够了!
  2. 【Flask】Flask-RESTful 风格编程
  3. 发福利了|最近发现深圳有一家公司提供的叫8ms的GUI平台不错,好用,最主要所有功能都是免费的
  4. bzoj#2125. 最短路
  5. [html] 元素的alt和title有什么区别?
  6. 【SPI】java基础之SPI框架实现
  7. C#类库项目创建config文件
  8. 产品需求文档(PRD,Product Requirement Document)模板
  9. 一起谈.NET技术,Silverlight 2.5D RPG游戏技巧与特效处理:(二)纸娃娃系统
  10. 1.1 电 电流 电压 电路 基本电子元件
  11. sinc函数原型滤波器窗口matlab,sinc函数
  12. 如何用电脑查看自己的IP地址
  13. 制造业考PMP是否有用?
  14. tensorflow安装 报错ConnectionResetError(10054, ‘远程主机强迫关闭了一个现有的连接。
  15. python目前版本强势英雄_王者荣耀S11赛季什么英雄强势 S11强势英雄推荐
  16. 计算机系统基础实验 - 同符号浮点数加法运算/无符号定点数乘法运算的机器级表示
  17. Criteria使用指南
  18. 为什么必须要数据清理?
  19. 【推荐系统入门到项目实战】(三):矩阵分解和ALS算法
  20. 百度地图API底色主题更换

热门文章

  1. 笔记本WIN10 网络和Internet WLAN选项消失
  2. 数学与计算机学院文化节,我院成功举办第二届数学文化节暨计算科学文化交流月活动...
  3. 2022新版妹子写真网站源码+UI非常精美
  4. 图集谷-写真集-爬虫-2.0
  5. 群晖NAS软件之:Drive你会用吗?带你装逼!
  6. Bert模型做多标签文本分类
  7. vue 引用网络css_Vue 引入外部CSS文件
  8. 智能家居中控屏(一):产品介绍
  9. css圆角矩形+底部三角
  10. 社区电商平台运营中常遇到的一些问题