抓取指定ip位址的資料流:
抓取指定ip位址範圍的資料流:
當你需要抓取來自/發到一組位址的資料流,可以採用cidr(無類別域間路由,classless interdomain routing)格式或使用mask引數。
方括號中第乙個數字表示從協議頭開始的偏移量,第二個數字表示需要觀察多少位。
抓取發到廣播或多播位址的資料流:
只需偵聽廣播或多播資料流,就可以掌握網路上主機的許多資訊。
小貼士:
wireshark包含了一些預設的抓包過濾條件。點選主工具欄的edit capture filters,跳轉到已儲存抓包過濾列表。你會發現一些常見抓包過濾的示例。
抓取基於mac位址的資料流:
當你需要抓取發到/來自某一主機的ipv4或ipv6資料流,可建立基於主機mac位址的抓包過濾條件。
應用mac位址時,需確保與目標主機處於同一網段。
抓取基於指定應用的資料流:
你可能需要檢視基於乙個或幾個應用的資料流。抓包過濾器語法無法識別應用名,因此需要根據埠號來定義應用。通過目標應用的tcp或udp埠號,將不相關的報文過濾掉。
抓取結合埠的資料流:
當你需要抓取多個不連續埠號的資料流,將它們通過邏輯符號連線起來,如下圖所示:
syn: 簡歷連線的訊號
fin: 關閉連線的訊號
ack: 確認接收資料的訊號
rst: 立即關閉連線的訊號
psh: 推訊號,盡快將資料轉由應用處理
tcp[13]是從協議頭開始的偏移量,0,1,3,5,6,8是標識位。
盡量避免使用抓包過濾。即便多看幾個報文,也比漏看乙個報文要好。當你抓取了大量報文的時候,用顯示過濾(過濾選項也更多)來重點檢視某一資料流。
協議過濾器:
應用過濾器:
域過濾器:
字元過濾器:
wireshark 常用過濾命令
1.過濾源ip 目的ip。在wireshark的過濾規則框filter中輸入過濾條件。如查詢目的位址為192.168.101.8的包,ip.dst 192.168.101.8 查詢源位址為ip.src 1.1.1.1 2.埠過濾。如過濾80埠,在filter中輸入,tcp.port 80,這條規則是...
wireShark常用過濾規則
在filter框中輸入過濾條件可以指定顯示滿足條件的資料報 1.過濾源ip ip.src 192.186.0.107,則只顯示源ip等於192.186.0.107的資料報 2.過濾目的ip ip.dst 192.186.0.101,則只顯示目的ip等於192.186.0.101的資料報 3.埠過濾 ...
Wireshark 常用過濾方法
說明 在wireshark的過濾規則框filter中輸入過濾條件 指定目的地ip.dst 192.168.1.104指定源位址ip.src 178.212.3.56源埠 目的埠為80的都過濾 tcp.port 80過濾目的80埠 tcp.dstport 80 過濾源80埠 tcp.srcport 8...