wireshark 过滤法则
来源:互联网 发布:sm是什么体验 知乎 编辑:程序博客网 时间:2024/06/07 06:50
最近在学习wireshark这个强大的网络分析工具,在这里给大家分享一下wireshark的过滤法则:
一、IP过滤:包括来源IP或者目标IP等于某个IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP
二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
三、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包长度过滤:
比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
五、http模式过滤:
例子:
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
一定包含如下
Content-Type:
六、连接符 and / or
七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
总之,Ethereal的包过滤规则强大而复杂,需要多多练习,实践,而且要对网络协议的基础知识相当熟悉,才能运用得得心应手哈。
这里只是暂且初学了几条,可以在一般情况下抓网络的数据包,并且拿来分析。还有更多的知识留待以后学习。
一、IP过滤:包括来源IP或者目标IP等于某个IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP
二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
三、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包长度过滤:
比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
五、http模式过滤:
例子:
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
一定包含如下
Content-Type:
六、连接符 and / or
七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
总之,Ethereal的包过滤规则强大而复杂,需要多多练习,实践,而且要对网络协议的基础知识相当熟悉,才能运用得得心应手哈。
这里只是暂且初学了几条,可以在一般情况下抓网络的数据包,并且拿来分析。还有更多的知识留待以后学习。
原文:http://www.csna.cn/archiver/tid-17016.html
0 0
- wireshark 过滤法则
- wireshark 过滤法则
- wireshark过滤
- wireshark 过滤
- wireshark 过滤
- WireShark 过滤
- wireshark过滤
- wireshark 过滤规则 过滤语法
- WireShark 过滤语法
- wireshark过滤基础知识
- WireShark 过滤语法
- Wireshark的过滤规则
- Wireshark过滤规则
- WireShark 过滤语法
- wireshark过滤基础知识
- WireShark 过滤语法
- wireshark常用过滤规则
- wireshark过滤语法总结
- sharepreference总结
- 整目录copy(WIN API)
- 什么是Dojo?与Jquery宏观对比,结果如何?
- 把word文档转存为pdf格式的转换方法
- SNMP协议详解
- wireshark 过滤法则
- Speex 同时适用于 Ios 与 Android 【代码篇 二】
- 深入浅出JavaScript(2)—ECMAScript
- Java内部类的使用小结
- STL 源码学习笔记——vector
- fstat、stat和lstat 区别
- mysql数据库中修改用户密码
- aurelia 跨域问题
- ICMP (网际控制报文协议)