wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)

2023-11-29 22:34:04

首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。

一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:

  (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
           表达式为:ip.src == 192.168.0.1
  (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
           表达式为:ip.dst == 192.168.0.1
  (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
           表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
  (4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
           表达式为:!(表达式)

二、针对协议的过滤

  (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
                表达式为:http
  (2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
           表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
  (3)排除某种协议的数据包
           表达式为:not arp  !tcp tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp

三、针对端口的过滤(视协议而定)

  (1)捕获某一端口的数据包
           表达式为:tcp.port == 80
                tcp.port eq 80 // 不管端口是来源的还是目标的都显示
                tcp.port == 80
                tcp.port eq 2722
                tcp.port eq 80 or udp.port eq 80
                tcp.dstport == 80 // 只显tcp协议的目标端口80
                tcp.srcport == 80 // 只显tcp协议的来源端口80
  (2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
           表达式为:udp.port >= 2048

四、针对长度和内容的过滤

  (1)针对长度的过虑(这里的长度指定的是数据段的长度)
           表达式为:udp.length < 30   http.content_length <=20
  (2)针对数据包内容的过滤
      表达式为:http.request.uri matches "vipscu"  (匹配http请求中含有vipscu字段的请求信息)

五、过滤MAC

  (1)太以网头过滤
                eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
                eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
                eth.dst==A0:00:00:04:C5:84
                eth.dst==A0-00-00-04-C5-84
                eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

六、HTTP模式过滤

        (1)例子

                http.request.method == “GET”

                http.request.method == “POST”
                http.request.uri == “/img/logo-edu.gif”
                http contains “GET”
                http contains “HTTP/1.”
                // GET包
                http.request.method == “GET” && http contains “Host: “
                http.request.method == “GET” && http contains “User-Agent: “
                // POST包
                http.request.method == “POST” && http contains “Host: “
                http.request.method == “POST” && http contains “User-Agent: “
                // 响应包
                http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
                http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
                一定包含如下
               Content-Type:

七、HTTP模式过滤

                tcp.flags 显示包含TCP标志的封包。

                tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。
                tcp.window_size == 0 && tcp.flags.reset != 1

 

 

 

wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)

上一篇:mongo安装与使用


下一篇:v-if 组件未销毁