Wireshark過濾器寫法總結

2022-02-10 21:20:34 字數 2543 閱讀 1503

目錄#過濾器具體寫法

#捕捉過濾器寫法

捕獲過濾器:在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。

顯示過濾器:在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料報。

注意:這兩種過濾器所使用的語法是完全不同的,想想也知道,捕捉網絡卡資料的其實並不是wireshark,而是winpcap,當然要按winpcap的規則來,顯示過濾器就是wireshark對已捕捉的資料進行篩選。

使用捕獲過濾器的主要原因就是效能。如果你知道並不需要分析某個型別的流量,那麼可以簡單地使用捕獲過濾器過濾掉它,從而節省那些會被用來捕獲這些資料報的處理器資源。當處理大量資料的時候,使用捕獲過濾器是相當好用的。

wireshark攔截通過網絡卡訪問的所有資料,前提是沒有設定任何**。

wireshark不能攔截本地回環訪問的請求,即127.0.0.1或者localhost。

1、過濾值比較符號及表示式之間的組合

2、針對ip的過濾

ip.src == 192.168.0.1
ip.dst == 192.168.0.1
ip.addr == 192.168.0.1
!(ip.addr == 192.168.0.1)
3、針對協議的過濾
http
注意:是否區分大小寫?答:區分,只能為小寫

http or telnet
not arp   或者   !tcp
4、針對埠的過濾(視傳輸協議而定)
tcp.port == 80
udp.port >= 2048
5、針對長度和內容的過濾
udp.length < 20   

http.request.uri matches "user" (請求的uri中包含「user」關鍵字的)
注意:matches後的關鍵字是不區分大小寫的!

http.request.uri contains "user" (請求的uri中包含「user」關鍵字的)
注意:contains後的關鍵字是區分大小寫的!

5、針對http請求的一些過濾例項。

http.request.uri contains "user"
http.host==baidu.com
http.host contains "baidu"
http.content_type =="text/html"
http.request.method=="post"
tcp.port==80
http && tcp.port==80 or tcp.port==5566
http.response.code==302
http.cookie contains "userid"
在wireshark的工具欄中點選捕獲捕獲過濾器,可以看到一些過濾器的寫法,如下圖:

1、比較符號

與:&&或者and

或:||或者or

非:!或者not

例項:

src or dst portrange 6000-8000 && tcp or ip6
2、常用表示式例項
src www.baidu.com
dst www.baidu.com
dst post 80
udp

WireShark過濾器選項

首先說幾個最常用的關鍵字,eq 和 等同,可以使用 and 表示並且,or 表示或者。和 not 都表示取反。一 針對wireshark最常用的自然是針對ip位址的過濾。其中有幾種情況 1 對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。表示式為 ip.src 192.168....

wireshark 捕獲過濾器

在wireshark中往往會抓到很多資料,這時我們就需要用到過濾器filter來篩選出我們所關心的資料報。wireshark提供了兩種過濾器 捕獲過濾器 在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。顯示過濾器 在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料...

wireshark 顯示過濾器

對於我們個人使用者,顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用於單機環境流量不大的情況。對於攻擊者而言,往往不知道需要什麼樣的資料報,只能在抓包審計之後再確定,因而也通常選用顯示過濾器。當停止捕獲資料之後,在資料報列表上面的過濾框中輸入過濾表示式,就可以只顯示我們需要的資料報。比如輸入表...