對於我們個人使用者,顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用於單機環境流量不大的情況。對於攻擊者而言,往往不知道需要什麼樣的資料報,只能在抓包審計之後再確定,因而也通常選用顯示過濾器。
當停止捕獲資料之後,在資料報列表上面的過濾框中輸入過濾表示式,就可以只顯示我們需要的資料報。比如輸入表示式「http」,就只顯示採用http協議的資料報,點選過濾框右側的×,可以去掉過濾規則,重新顯示所有資料報。
顯示過濾器的語法規則:
在顯示過濾器所採用的過濾表示式中,經常要用到各種比較運算子,主要有:
應用示例:
ip.addr == 192.168.0.1 //篩選出含有ip位址192.168.0.1的包顯示過濾器中的邏輯運算子:ip.src == 192.168.0.1 //篩選出源位址為192.168.0.1的包
ip.dst == 192.168.0.1 //篩選出目的位址為192.168.0.1的包
frame.len<
=128
//只顯示長度小於128位元組的包
tcp.port
== 80 //只顯示含有80埠的包
tcp.dstport
== 25 //只顯示目的tcp埠號為25的包
tcp.port
> 1024 //只顯示埠號大於1024的包
應用示例:
http //只顯示採用http協議的包注意,如果過濾器的語法是正確的,表示式的背景呈綠色。如果呈紅色,則說明表示式有誤。http or arp //只顯示採用http或arp協議的包
snmp || dns || icmp //顯示採用snmp或dns或icmp協議的包
not arp //不顯示採用arp協議的包
!tcp //不顯示採用tcp協議的包
!(ip.addr == 192.168.0.1) //排除含有ip位址192.168.0.1的包
有些過濾表示式的寫法是比較複雜的,下面介紹一種相對簡單的方法,可以自動新增過濾表示式。
首先清除之前的過濾結果,顯示完整的資料報。
然後選擇一條我們希望在過濾後能保留下來的資料報,比如要過濾出所有http協議中以post方式傳送的資料報,我們先手動找到這樣的乙個資料報,比如在第3個包的info**現了post資訊。
選定3號包,檢視該資料報的詳細資訊。在應用層hypertext transfer protocol中的post部分再次展開後可以看到request method:post。
在request method:post上點選右鍵,選擇「作為過濾器應用/選中」。
此時就可以發現,過濾器中已經填寫上了對應的過濾規則。同時顯示也變成了對應的過濾規則下的資料報。
如果我們想要找方法為get的包,直接將post改成get即可。
使用這種方式,難度在於需要事先找到一條含有自己想要的過濾資訊的資料報。相比較而言這種方式更加適於初學者,簡單易行,而且時間久了,會慢慢的熟悉常見的過濾語句,直到最終直接輸入。
我們可以將過濾後的資料報儲存下來以備以後隨時使用,比如我們要儲存http.request.method == "post"的資料報,在檔案選單中選擇「匯出特定分組」。
選擇之後,可以看到儲存的方式有多種。可以儲存所有的資料報(captured),也可以只儲存過濾後的資料報(displayed)。下方的資料顯示,在所有的344條資料報中,有62條為滿足我們過濾條件的資料報。一般情況下都是選擇displayed。
wireshark捕獲過濾器和顯示過濾器
wireshark的捕獲過濾器是在裝置驅動級別提供抓包的過濾介面 表示式 目的埠 dst post 80 源埠 src port 80 協議 udp 設定網段 net 192.168.0.0 mask 255.255.255.0等價於net 192.168.0.0 24 埠範圍 portrange ...
wireshark 顯示過濾器 筆記
1 只顯示交換於某一對ip 主機之間的所有ip 資料報。例如,該過濾器只顯示200.1.1.1與192.168.1.1之間的資料報 ip.addr 200.1.1.1 and ip.addr 200.1.1.1 2 顯示 12個資料報之前的特定icmp包 icmp.ident 35312 and f...
WireShark過濾器選項
首先說幾個最常用的關鍵字,eq 和 等同,可以使用 and 表示並且,or 表示或者。和 not 都表示取反。一 針對wireshark最常用的自然是針對ip位址的過濾。其中有幾種情況 1 對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。表示式為 ip.src 192.168....