Wireshark網路分析實戰筆記(一)抓包過濾器

2021-09-07 12:50:50 字數 3267 閱讀 2957

1.抓包過濾器配置在抓包之前,wireshark僅僅抓取抓包過濾器過濾的資料

2.顯示過濾器配置在抓包後,wireshark已經抓取全部的資料報,顯示過濾器讓wireshark僅僅顯示想看的資料報

ether dst <>  抓取乙太網流量的目的mac位址

ether src<>  抓取乙太網流量的源的mac位址

ether broadcast  抓取乙太網廣播流量

ether multicast 抓取乙太網多播流量

ether proto <>  所抓乙太網流量的乙太網協議型別編號(比方:ether proto 0x0806)

常見的乙太網協議型別字段

0x0800

ip0x0806

arp0x8137

novell ipx

0x809b

關於乙太網協議型別的具體介紹能夠參看這篇博文:

下面兩張圖是乙個arp資料報和乙個dns資料報,它們的乙太網協議型別字段各自是0x0806(arp)和0x0800(ip):

vlan <>  僅僅抓取指定vlan的流量

ip/ipv6  僅僅抓取ipv4或ipv6的資料報

host <>  僅僅抓取源於或發往所指定的主機名或ip位址的流量(比方:host 192.168.1.1)

dst host <>   僅僅抓取發往所指定的主機名或ip位址的流量

src host <>  僅僅抓取源於所指定的主機名或ip位址的流量

gateway <> 僅僅抓穿過host的流量

net<>  僅僅抓取源於或發往識別符號的ipv4huoipv6網路號的流量(比方:net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 )

dst net <>  僅僅抓取發往識別符號的ipv4huoipv6網路號的流量

src net <>  僅僅抓取源於識別符號的ipv4huoipv6網路號的流量

broadcast   僅僅抓取ip廣播包

multicast  僅僅抓取ip多播包

ip proto <> 僅僅抓取ip報頭的協議型別字段值等於特定值的資料報

常見的協議型別字段值

1icmp

2igmp

6tcp

17udp

47gre

88eigrp

89ospf

下圖為乙個tcp資料報。當中三層ip層的protocol欄位為6,表示其上層協議為tcp:

ip6 proto <>   僅僅抓取ipv6報頭的協議型別字段值等於特定值的資料報

icmp[icmptype]==<>  僅僅抓取特定型別的資料報(比方:icmp[icmptype]==0 icmp echo reply資料報)

ip[2:2]==<> 位元組偏移和淨載匹配過濾器(第乙個2代表從第二位元組開始,第二個2代表兩個位元組長)

port <>    抓取源或目的埠匹配的資料報(比方:port 80或port http)

dst port <>   抓取目的埠匹配的資料報

src port <>   抓取源埠匹配的資料報

tcp/udp dst/src portrange <>-<>   抓取tcp或udp的源或目的埠在乙個範圍內的資料報(比方:tcp dst portrange 50 100 )

tcp[tcpflags] & (tcp-rst)==1  抓取rst標識位為1的tcp資料報

下圖為乙個rst標識位為1的tcp資料報:

less <> 僅僅抓取不長於<>的資料報

greater <> 僅僅抓取不短於<>的資料報

tcp[13] & 0x01 =1    採用節偏移和淨載匹配過濾器方法,13代表tcp資料報的第13個位元組開始,13位元組就是標記位,這個的意思是抓取fin為1的資料報

復合過濾器就是使用「與或非」操作符連線幾個單獨的表示式

!或not

非&&或and

與||或or

或 舉幾個樣例:

not broadcast and not multicast   不抓取廣播和多播資料報(僅僅抓取單播包)

tcp port 23 and host 192.168.1.1  僅僅抓取主機192.168.1.1的telnet流量

tcp dst port 23 and tcp src portrange 5000-6000   抓取tcp源埠範圍為5000-6000的telnet流量

基本格式例如以下:

proto [offset:bytes]

proto:要抓取的協議

offset:從協議頭部開始所偏移的位元組數

bytes:抓包過濾器所要檢查的位元組數

舉幾個樣例:

tcp [2:2]>50 and tcp[2:2]<100 port範圍是50-100的tcp資料報

tcp[14:2]<8192 抓取窗體大小字段低於8192的tcp資料報

下面附上ip,tcp。udp包頭以供參考:

VMWARE 網路分析

vmware網路分析 實驗環境 vmware bridge工作方式 vmware nat 工作方式 vmware host only工作方式 實驗環境我的試驗環境是在一台機器上進行的,其配置為p4 2.4g,512mb,64g 硬碟,安裝使用的是windows98和windows 2000作業系統。...

「社交網路」分析

模組化 圖形化實戰 總結最近國產的一部電視劇集 人民的名義 突然的就火了,隨之而來的是各大coder們的社交網路分析。針對劇本中出現的人名,事件,詞頻等以圖形化的介面展示,清晰化的顯示出了劇本的特色。而對於csdn的關注人和粉絲的圖形化展示,也恰好符合這乙個主題 暫且這麼認為吧 本來想做的是公共粉絲...

網路分析工具

一 ping 1 ping packet internet groper,網際網路包探索器 原理 利用網路上機器ip位址的唯一性,給目標ip位址傳送乙個資料報,再要求對方返回乙個同樣大小的資料報來確定兩台機器是否連線相同以及時延是多少 2 使用ping檢查連通性有以下6個步驟 1 使用ipconfi...