wireshark是當今世界使用最為廣泛的網路封包分析軟體之一,其以免費且強大的功能著稱。例如其強大的過濾器引擎,可以是使用者在繁雜的資料中快速找到自己需要的資料。但是,其強大的功能下是複雜的操作。在此,將一些簡單的過濾語句總結如下。
主要為五種型別:1.ip過濾:比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示**ip
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標ip
2.埠過濾 :
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的**埠80
過濾埠範圍tcp.port >= 1 and tcp.port <= 80
3.協議過濾
udp,arp,icmp,http,smtp,sl包,如!ssl 或者 not ssl
4.包長度過濾
比如:udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後
5.http模式過濾
例子:http.request.method == 「get」
主要語法為;
d 0-9的數字
\d \d的補集(以所以字元為全集,下同),即所有非數字的字元
\w 單詞字元,指大小寫字母、0-9的數字、下劃線
\w \w的補集
\s 空白字元,包括換行符\n、回車符\r、製表符\t、垂直製表符\v、換頁符\f
\s \s的補集
. 除換行符\n外的任意字元。 在perl中,「.」可以匹配新行符的模式被稱作「單行模式」
.* 匹配任意文字,不包括回車(\n)? 。 而,[0x00-0xff]* 匹配任意文字,包括\n
[…] 匹配內所列出的所有字元
[^…] 匹配非內所列出的字元
2、定位字元 所代表的是乙個虛的字元,它代表乙個位置,你也可以直觀地認為「定位字元」所代表的是某個字元與字元間的那個微小間隙。
^ 表示其後的字元必須位於字串的開始處
$ 表示其前面的字元必須位於字串的結束處
\b 匹配乙個單詞的邊界
\b 匹配乙個非單詞的邊界
3、重複描述字元
匹配前面的字元n次
匹配前面的字元n次或多於n次
匹配前面的字元n到m次
? 匹配前面的字元0或1次
4、and or 匹配
and 符號 並
or 符號 或
例如:tcp and tcp.port==80
tcp or udp
wireshark過濾使用
捕捉過濾器 capturefilters 用於決定將什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定。顯示過濾器 displayfilters 在捕捉結果中進行詳細查詢。他們可以在得到捕捉結果後隨意修改。那麼我應該使用哪一種過濾器呢?兩種過濾器的目的是不同的。捕捉過濾器是資料經過的第一層過濾器,它...
使用wireshark常用的過濾命令
我們使用wireshark抓包,卻不知道如何分析這些包,也無法從海量的包中提取自己需要的資料,下面簡單介紹下wireshark的過濾規則。過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢www.baidu.com目的位址為14.215.177.37 的包,ip...
使用wireshark常用的過濾命令
使用wireshark常用的過濾命令 方法 步驟 1過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢目的位址為192.168.101.8的包,ip.dst 192.168.101.8 查詢源位址為ip.src 1.1.1.1 使用wireshark常用的過濾命...