wireshark过滤规则

最新推荐文章于 2023-06-10 20:57:47 发布
最新推荐文章于 2023-06-10 20:57:47 发布
阅读量643 收藏
点赞数
分类专栏: 网络 文章标签: 开源 proxy server wireshark

WireShark

过滤

语法

 


1.

过 滤

IP,如来源IP或者目标IP等于某个IP



例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP


2.

过滤

端 口



例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80


udp.port eq 15000


过滤

端口范围

tcp.port >= 1 and tcp.port <= 80


3.

过 滤

协议



例子:

tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

oicq

bootp

等 等


排除arp包,如!arp  或者  not arp


4.

过 滤

MAC



太以网头

过滤


eth.dst == A0:00:00:04:C5:84 //

过滤

目 标mac

eth.src eq A0:00:00:04:C5:84 //

过 滤

来源mac

eth.dst==A0:00:00:04:C5:84

eth.dst==A0-00-00-04-C5-84

eth.addr eq A0:00:00:04:C5:84 //

过滤

来 源MAC和目标MAC都等于A0:00:00:04:C5:84的


less than 小于 < lt

小于等于 le


等 于 eq


大于 gt

大于等于 ge


不等 ne



5.包长度

过 滤



例子:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后


eth ---> ip or arp ---> tcp or udp ---> da

ta


6.http 模式

过滤



例子:

http.request.method == "GET"

http.request.method == "POST"

http.request.uri == "/img/logo-edu.gif"

http contains "GET"

http contains "HTTP/1."


// GET包

http.request.method == "GET" && http contains "Host: "

http.request.method == "GET" && http contains "User-Agent: "

// POST包

http.request.method == "POST" && http contains "Host: "

http.request.method == "POST" && http contains "User-Agent: "

// 响应包

http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "

http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "

一 定包含如下

Content-Type:



7.TCP参数

过 滤



tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 0x02    显示包含TCP SYN标志的封包。

tcp.window_size == 0 && tcp.flags.reset != 1


8.

过滤

内容




tcp[20] 表示从20开始,取1个字符

tcp[20:]表示从20开始,取1个字符以上

tcp[20:8]表示从20开始,取8个字符

tcp[offset,n]


udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数,是否与==后面的数据相等?

udp[8:1]==32  如果我猜的没有错的话,应该是udp[offset:截取个数]=nValue

eth.addr[0:3]==00:06:5B


例 子:

判断upd下面那块数据包前三个是否等于0x20 0x21 0x22

我们都知道udp固定长度为8

udp[8:3]==20:21:22


判 断tcp那块数据包前三个是否等于0x20 0x21 0x22

tcp一般情况下,长度为20,但也有不是20的时候

tcp[8:3]==20:21:22

如 果想得到最准确的,应该先知道tcp长度


matches(匹配)和contains(包含某字符串)语法

ip.src==192.168.1.107 and udp[8:5] matches "\\x02\\x12\\x21\\x00\\x22"

ip.src==192.168.1.107 and udp contains 02:12:21:00:22

ip.src==192.168.1.107 and tcp contains "GET"

udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。


例子:

得到本地qq登陆数据包(判断条 件是第一个包==0x02,第四和第五个包等于0x00x22,最后一个包等于0x03)

0x02 xx xx 0x00 0x22 ... 0x03

正确

oicq and udp[8:] matches "^\\x02[\\x00-\\xff][\\x00-\\xff]\\x00\\x22[\\x00-\\xff]+\\x03$"

oicq and udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" // 登陆包

oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$" or tcp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$")

oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" or tcp[20:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$")


不 单单是00:22才有QQ号码,其它的包也有,要满足下面条件(tcp也有,但没有做):

oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[11:2]==00:80)

oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[15:4]==00:00:00:00)

说明:

udp[15:4]==00:00:00:00 表示QQ号码为空

udp[11:2]==00:00 表示命令编号为00:00

udp[11:2]==00:80 表示命令编号为00:80

当命令编号为00:80时,QQ号码为 00:00:00:00


得到msn登陆成功账号(判断条件是"USR 7 OK ",即前三个等于USR,再通过两个0x20,就到OK,OK后面是一个字符0x20,后面就是mail了)

USR xx OK mail@hotmail.com

正确

msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches "^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+"


9.dns 模式

过滤




10.DHCP


以 寻找伪造DHCP服务器为例,介绍

Wireshark

的用法。在显 示

过滤

器中加入

过 滤

规则,

显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack)的信息:

bootp.type==0x02 and not ip.src==192.168.1.1


11.msn


msnms && tcp[23:1] == 20 // 第四个是0x20的msn数据包

msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A

msnms && tcp[20:3]=="USR" // 找到命令编码是USR的数据包

msnms && tcp[20:3]=="MSG" // 找到命令编码是MSG的数据包

tcp.port == 1863 || tcp.port == 80


如何判断数据包是含 有命令编码的MSN数据包?

1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80

2) 数据这段前三个是大写字母,如:

tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A

3)第四个为0x20,如:tcp[23:1] == 20

4)msn是属于TCP协议的,如 tcp


MSN Messenger 协议分析

http://blog.csdn.net/Hopping/archive/2008/11/13/3292257.aspx


MSN 协议分析

http://blog.csdn.net/lzyzuixin/archive/2009/03/13/3986597.aspx


更 详细的说明

<<

wireshark

过 滤

表达式实例介绍>>

http://www.csna.cn/viewthread.php?tid=14614

谭洪武
关注
专栏目录
WireShark过滤语法
lzg13541043726的专栏
08-01 998
WireShark过滤语法   1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端 口 例子: tcp.port eq 80 // 不管端口是来源
Wireshark抓包及常用过滤方法
热门推荐
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
VoIP之Wireshark使用
szkbsgy的专栏
05-08 2900
Wireshark是网络协议分析必不可少的工具软件,熟练使用wireshark能在网络软件问题分析中起到事半功倍的效果。在VoIP领域中,Wireshark软件也是不可缺少的。无论是SIP协议分析、音视频问题定位、或是项目安装部署问题排查,都有它的一席之地。本文从以下几个方面介绍Wireshark在VoIP领域中的应用。 一、报文过滤 一般抓到的报文中都包含大量其它协议的网络包,为了更好的分析问题,需要输入合适的过滤条件。实际分析中过滤条件有以下几种: SIP 最常用的过滤条件 SIP+RT
wireshark常用的过滤命令
weixin_34194317的博客
09-26 1239
  我们使用wireshark抓包,却不知道如何分析这些包,也无法从海量的包中提取自己需要的数据,下面简单介绍下wireshark过滤规则过滤源ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;   ...
网络分析器Wireshark过滤器设置
new9232的博客
01-16 1万+
1、简介 Wireshark是目前全球使用最广泛的开源抓包软件。可以对网络进行故障定位,可以对网络黑客攻击进行快速定位,可以分析底层通信机制等。 2、Wireshark安装 下载地址:Wireshark · Go Deep.https://www.wireshark.org/ 3、界面介绍 如果打开发现没有接口,是因为wireshark自带的Npcap不支持win10,需要下载Win10Pcap。下载地址:Win10Pcap Download - WinPcap for Win...
wireshark 过滤规则
07-13
### Wireshark过滤规则详解 #### 一、概述 Wireshark是一款强大的网络封包分析软件,它能够捕捉网络中的数据包,并通过多种过滤规则帮助用户进行数据分析。本篇文章主要介绍如何利用Wireshark设置过滤规则,特别是...
WireShark过滤规则
马赛克的博客
12-06 1486
一:介绍 Wireshark是一款强大的抓包软件,其中过滤规则最主要分为两部分 一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则 分别对应下面两张图的对应规则填写位置 如果符合对应的规则那么就会显示成为绿色,否则的话就是红色 二:抓包过滤器 抓包过滤器的语法是BPF过滤规则的语法 ,这个语法被广泛应用于多种数据包的嗅探软件,因为大多数的的软件都是基于libpacp/W...
Wireshark过滤规则.docx
05-28
文档中提到的过滤规则Wireshark的核心功能之一,能够帮助用户快速筛选出感兴趣的数据包,提高分析效率。 1. **IP过滤**: - 使用`ip.src eq IP_ADDRESS`或`ip.dst eq IP_ADDRESS`可以过滤出源IP或目标IP为指定...
Wireshark过滤规则及使用方法.pdf
最新发布
04-22
### Wireshark过滤规则及使用方法详解 #### 一、Wireshark简介与过滤规则的重要性 Wireshark是一款广泛使用的网络封包分析软件,能够实时捕捉网络封包,并且能够详细展示每一层的协议内容。它支持多种网络协议,如...
SIP Data Filter (SiDaFir):简单高效的SIP跟踪过滤工具-开源
05-08
会话发起协议(SIP)是当今广泛用于控制多媒体通信会话(例如,通过Internet协议(IP)网络进行的语音和视频呼叫)的信令通信协议。 由于其简单性,SIP消息通常以创造性的方式使用,而这些方法最初不是为这些消息设计的(例如,使用定期的OPTIONS数据包作为NAT保持活动,而不是使用STUN或TURN),因此捕获到的流量的SIP跟踪通常包含“无用的”从实际的信号传输角度来看。 该项目的目的是提供一种简单有效,可配置性强的工具,用于SIP跟踪过滤-SIP数据过滤器(SiDaFir)。
Wireshark 认识捕获的分析数据包(及各个分层协议的介绍)
小白裸奔
09-12 2万+
综述:认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范,显示在Packet Details面板中。为了帮助用户能够清楚的分析数据,本节将介绍识别数据包的方法。 在Wireshark中关于数据包的叫法有三个术语,分别是帧、包、段。下面通过分
Wireshark过滤
GY_1202的博客
06-10 6551
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
Wireshark图解教程(简介、抓包、过滤器)(转)
weixin_30905981的博客
01-07 260
本文转自:http://www.cnblogs.com/observer/archive/2011/11/04/2235219.html 下面是一张地址为192.168.1.2的计算机正在访问"openmaniak.com"网站时的截图。 1.MENUS(菜单)2.S...
wireshark分析 SIP中被叫端听不到声音
luoriver的专栏
03-30 5330
环境描述: 服务器:218.249.39.212 测试安卓终端对讲功能;当按下红色按钮时可发起对讲,我的状态显示讲话,听讲方显示听讲。   1020发起对讲,对讲组号码为2010,然后1020开始讲话。讲话的过程中发现对讲组内的其它成员根本没有听到1020的任何声音。通过在服务器中抓包进行分析,发现话权方根本就没有发RTP流。 抓包文件在http:
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 2万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark常用过滤使用方法
文公子的博客
09-03 1967
Wireshark常用过滤使用方法 过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst192.168.101.8;查找源地址为ip.src1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在Filte
Wireshark应用
00's Blog
01-03 2830
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
使用Wireshark进行SIP包解析
学习是为了探索这个世界的本质
01-22 1万+
1. 安装Wireshark        下载Wireshark后,安装很简单,基本上只需要点击“Next”和“I agree”等按钮,不再赘述。 2. Wireshark介绍 参见:http://man.lupaworld.com/content/network/wireshark/Introduction.html copy一下简要介绍: Wireshark 是网络包分析工
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值