最近要抓包分析一軟體,抓取http post請求
http and http.request.method==posteq,== 等於
ne,!= 不等於
gt,> 比…大
lt,< 比…小 ge,>= 大於等於
le,<= 小於等於 and,|| 且 or,&& 或 not,! 取反
另外還有contains和matches兩個不常用的關鍵字,過濾效果不錯。
「contains」過濾包含指定字串的資料報。例如:
//過濾http請求的uri中含有/dll/test.htm?欄位的請求資訊
udp contains 81:60:03
//過濾包含81:60:03的udp資料報
//matches 匹配過濾條件中給定的正規表示式,支援與perl相容的正規表示式(pcre)。
//過濾經過指定網域名稱的http資料報,這裡的host值不一定是請求中的網域名稱
//過濾http響應狀態碼為302的資料報
//過濾所有的http響應包
//過濾所有的http請求,貌似也可以使用http.request
//wireshark過濾所有請求方式為post的http請求包,注意post為大寫
//過濾含有指定cookie的http資料報
//過濾請求的uri,取值是網域名稱後的部分
//過濾含網域名稱的整個url則需要使用http.request.full_uri
//過濾http頭中server欄位含有nginx字元的資料報
//過濾content_type是text/html的http響應、post包,即根據檔案型別過濾http資料報
//過濾content_encoding是gzip的http包
//根據transfer_encoding過濾
//根據content_length的數值過濾
//過濾所有含有http頭中含有server欄位的資料報
//過濾http/1.1版本的http包,包括請求和響應
//過濾http響應中的phrase
wireshark捕獲udp資料報
udp協議分析常用過濾條件
ip.addr==192.168.0.1 //過濾ip位址
data.len==8 //過濾data部分長度為8的資料報
data.data == 00:08:30:03:00:00:00:00 //過濾指定內容的資料報
udp.srcport == 10092 //過濾經過本機10092埠的udp資料報
udp.dstport == 80 //過濾目標機器10092埠的udp資料報
udp.port==10092 //過濾本機或目標機器10092埠的資料報
udp.length == 20 //過濾指定長度的udp資料報
udp校驗和過濾條件
udp.checksum == 0x250f
udp.checksum_good == 0 //boolean型別
udp.checksum_bad == 0
程序相關的過濾條件
以下過濾條件不支援windows,因為需要特殊的驅動。
udp.proc.dstcmd //過濾目標程序名
udp.proc.dstpid //過濾目標程序pid
udp.proc.dstuid //過濾目標程序的使用者id
udp.proc.dstuname //過濾目標程序的使用者名稱
udp.proc.srccmd //過濾源程序名
udp.proc.srcpid //過濾源程序pid
udp.proc.srcuid //過濾源程序的使用者id
udp.proc.srcuname //過濾源程序的使用者名稱
ether host 00:11:22:33:44:55 //過濾目標或源位址是00:11:22:33:44:55的資料報
ether dst host 00:11:22:33:44:55 //過濾目標位址是00:11:22:33:44:55的資料報
ether src host 00:11:22:33:44:55 //過濾源位址是00:11:22:33:44:55的資料報
eth.addr== 00:11:22:33:44:55 //過濾目標或源位址是00:11:22:33:44:55的資料報
eth.src== 00:11:22:33:44:55 //過濾源位址是00:11:22:33:44:55的資料報
eth.dst== 00:11:22:33:44:55 //過濾目標位址是00:11:22:33:44:55的資料報
wireshark捕獲經過指定ip的資料報
捕捉過濾抓包前在capture option中設定,僅捕獲符合條件的包,可以避免產生較大的捕獲檔案和記憶體占用,但不能完整的復現測試時的網路環境。
host 192.168.0.1 //抓取192.168.0.1 收到和發出的所有資料報
src host 192.168.0.1 //源位址,192.168.0.1發出的所有資料報
dst host 192.168.0.1 //目標位址,192.168.0.1收到的所有資料報
src host hostname //根據主機名過濾
ether host 80:05:09:03:e4:35 //根據mac位址過濾
net 192.168.0 //網路過濾,過濾整個網段
src net 192.168
dst net 192
使用「非/且/或」建立組合過濾條件可以獲得更精確的捕獲
非: ! or 「not」 (去掉雙引號)
且: && or 「and」
或: || or 「or」
wirershark過濾指定ip收發資料報示例:
抓取所有目的位址是192.168.0.2 或192.168.0.3 埠是80 的tcp 資料
(tcp port 80) and ((dst host 192.168.0.2) or (dst host
192.168.0.3)) //捕獲過濾
tcp.port==80&&(ip.dst==192.168.0.2||ip.dst==192.168.0.3) //顯示過濾
抓取所有目標mac 位址是80:05:09:03:e4:35 的icmp 資料
(icmp) and ((ether dst host 80:05:09:03:e4:35))
icmp && eth.dst==80:05:09:03:e4:35
抓取所有目的網路是192.168,但目的主機不是192.168.0.2 的tcp 資料
(tcp) and ((dst net 192.168) and (not dst host 192.168.0.2))
tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.0.2)
捕獲主機192.168.0.1 和主機192.168.0.2 或192.168.0.3的通訊
host 192.168.0.1 and (192.168.0.2 or 192.168.0.3 )
ip.addr==192.168.0.1&&(ip.addr==192.168.0.2||ip.addr==192.168.0.3)
獲取主機192.168.0.1除了和主機192.168.0.2之外所有主機通訊的資料報
host 192.168.0.1 and ! 192.168.0.2
ip.addr==192.168.0.1&&!ip.addr==192.168.0.2
獲取主機192.168.0.1接收或發出的telnet包,telnet使用tcp 23埠
tcp port 23 and host 192.168.0.1
tcp.port==23&&ip.addr==192.168.0.1
wireshaek http抓包過濾條件
最近要抓包分析一軟體,抓取http post請求 andhttp.request.method post關鍵字有 eq,等於 ne,不等於 gt,比 大 lt,比 小 ge,大於等於 le,小於等於 and,且 or,或 not,取反 另外還有contains和matches兩個不常用的關鍵字,過濾...
應用抓包之Fiddler抓包
tcpdump抓包 應用抓包之tcpdump命令抓包 原料fiddler fiddler是位於客戶端和伺服器端的http 也是目前最常用的http抓包工具之一 它能夠記錄客戶端和伺服器之間的所有 http請求,可以針對特定的http請求,分析請求資料 設定斷點 除錯web應用 修改請求的資料,甚至可...
什麼是 抓包 怎樣 抓包
你是網路管理員嗎?你是不是有過這樣的經歷 在某一天的早上你突然發現網路效能急劇下降,網路服務不能正常提供,伺服器訪問速度極慢甚至不能訪問,網路交換機埠指示燈瘋狂地閃爍 網路出口處的路由器已經處於滿負荷的工作狀態 路由器cpu已經到了百分之百的負荷 重啟動後沒有幾分鐘現象又重新出現了。這是什麼問題?裝...