wireshark 實用過濾表示式

2021-06-11 03:15:03 字數 1644 閱讀 4319

首先說幾個最常用的關鍵字,「eq」 和 「==」等同,可以使用 「and」 表示並且,「or」表示或者。「!" 和 "not」 都表示取反。

(1)對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。

表示式為:ip.src == 192.168.0.1

(2)對目的位址為192.168.0.1的包的過濾,即抓取目的位址滿足要求的包。

表示式為:ip.dst == 192.168.0.1

(3)對源或者目的位址為192.168.0.1的包的過濾,即抓取滿足源或者目的位址的ip位址是192.168.0.1的包。

表示式為:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

(4)要排除以上的資料報,我們只需要將其用括號囊括,然後使用 "!" 即可。

表示式為:!(表示式)

二、針對協議的過濾

(1)僅僅需要捕獲某種協議的資料報,表示式很簡單僅僅需要把協議的名字輸入即可。

表示式為:http

(2)需要捕獲多種協議的資料報,也只需對協議進行邏輯組合即可。

表示式為:http or telnet (多種協議加上邏輯符號的組合即可)

(3)排除某種協議的資料報

表示式為:not arp      !tcp

三、針對埠的過濾(視協議而定)

(1)捕獲某一埠的資料報

表示式為:tcp.port == 80

(2)捕獲多埠的資料報,可以使用and來連線,下面是捕獲高階口的表示式

表示式為:udp.port >= 2048

四、針對長度和內容的過濾

(1)針對長度的過慮(這裡的長度指定的是資料段的長度)

表示式為:udp.length < 30   http.content_length <=20

(2)針對資料報內容的過濾

表示式為:http.request.uri matches "vipscu"  (匹配http請求中含有vipscu欄位的請求資訊)

通過以上的最基本的功能的學習,如果隨意發揮,可以靈活應用,就基本上算是入門了。以下是比較複雜的例項(來自wireshark**教程):

tcp dst port 3128

顯示目的tcp埠為3128的封包。

ip src host 10.1.1.1

host 10.1.2.3

src portrange 2000-2500

顯示**為udp或tcp,並且埠號在2000至2500範圍內的封包。

not imcp

顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示**ip為10.4.1.12或者**網路為10.6.0.0/16,目的地tcp埠號在200至10000之間,並且目的位於網路10.0.0.0/8內的所有封包。

wireshark 常用過濾命令

1.過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢目的位址為192.168.101.8的包,ip.dst 192.168.101.8 查詢源位址為ip.src 1.1.1.1 2.埠過濾。如過濾80埠,在filter中輸入,tcp.port 80,這條規則是...

wireShark常用過濾規則

在filter框中輸入過濾條件可以指定顯示滿足條件的資料報 1.過濾源ip ip.src 192.186.0.107,則只顯示源ip等於192.186.0.107的資料報 2.過濾目的ip ip.dst 192.186.0.101,則只顯示目的ip等於192.186.0.101的資料報 3.埠過濾 ...

Wireshark 常用過濾方法

說明 在wireshark的過濾規則框filter中輸入過濾條件 指定目的地ip.dst 192.168.1.104指定源位址ip.src 178.212.3.56源埠 目的埠為80的都過濾 tcp.port 80過濾目的80埠 tcp.dstport 80 過濾源80埠 tcp.srcport 8...