Wireshark过滤

已于 2024-01-21 22:14:10 修改
阅读量6k 收藏 21
点赞数 3
分类专栏: 运维 文章标签: wireshark 信息与通信 tcpdump
于 2023-06-10 20:57:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GY_1202/article/details/130856654
版权

        wireshark有两种过滤方式:捕获过滤器、显示过滤器。

1.捕获过滤器

        在抓包之前就设定好过滤条件,只抓取符合条件的数据包。

390f1a332a2b4d5ca31a07a8d1dab0b5.png

 关于捕获过滤器的一些常用语法,可以在工具栏中,依次点击“捕获”-->“捕获过滤器”中查看。

a08c5722ba384b5aa1bc0073de780e28.png

 

比较符号
&& 或 and
|| 或 or

! 或 not
常用过滤表达式
源地址过滤src www.baidu.com
目的地址过滤dst www.baidu.com
目的地址端口过滤dst port 80
协议过滤udp

2.显示过滤器

        在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。

① 过滤值比较符号及表达式之间的组合

英文符号描述及示例
eq==等于 ip.src == 192.168.1.30
ne!=不等于 ip.src != 192.168.1.30
gt>大于 frame.len > 10
lt<小于 frame.len < 128
ge>=大于等于 frame.len ge 10
le<=小于等于 frame.len <= 128
contains 包含 sip.To contains "xxx"
matches~正则匹配 host matches "acme\.(org|com|net)"

bitwise_and

&

位与操作 tcp.flags & 0x01

and&&AND逻辑与 ip.src == 192.168.1.30 and tcp.flags.fin
or||OR逻辑或 ip.src == 192.168.1.30 or ip.src == 192.168.2.30
xor^^XOR逻辑异或 tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
not!NOT逻辑非 not llc

② 针对IP进行过滤

case 1 筛选出源 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.2.30 

case 2 筛选出目的地址是192.168.1.88的数据包

过滤命令:

ip.dst_host == 192.168.1.88 

case 3 筛选出源 IP 或者目的 IP 地址是 192.168.1.30 的全部数据包

ip.addr == 192.168.1.30

case 4 排除 case 3 的数据包,需要加 “!”

过滤命令:

!(ip.addr == 192.168.1.30)

case 5 筛选出源 IP 地址是 192.168.1.30 且目的 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.1.30 && ip.dst_host == 192.168.2.30

case 6 筛选出源 IP 地址是 192.168.1.30 或者源 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.1.30 && ip.src_host == 192.168.2.30

③ 针对端口进行过滤

case 1 筛选源端口和目的端口为80的数据包(以TCP协议为例)

过滤命令:

tcp.port == 80                  

case 2 根据 TCP 目的端口筛选数据包

过滤命令:

tcp.dstport == 80        

case 3 根据 UDP 源端口筛选数据包

过滤命令:

udp.srcport == 80    

case 4 筛选不低于某端口的数据包(以UDP协议为例)

过滤命令:

udp.port >= 80

 ④ 针对协议进行过滤

获取某种协议数据包,仅需要把协议名字以小写的形式输入即可。常用的协议有 http、udp、tcp、dns、ip、ssl、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip ...

case 1 仅筛选http协议

过滤命令:http              

case 2 筛选多种协议数据包

过滤命令:http or telnet 

拓展:根据 http 请求的一些数据包筛选

case 1 精确筛选域名

过滤命令:

http.host==baidu. com

case 2 模糊筛选域名

过滤命令:

http.host contains 'www.baidu.com'

case 3 筛选请求地址中包含"alarm” 的请求

过滤命令:

http.request.uri contains 'Alarm' (contains 后的关键字区分大小写)

http. request. uri matches 'alarm'  (matches 后的关键字不区分大小写)

case 4 筛选请求的content type类型

过滤命令:

http.content_type ==' text/html'

case 5 筛选http请求方法

过滤命令:

http.request.method==’ POST’

case 6 筛选http响应状态码

过滤命令:

http.response.code==302

 ⑤ 针对长度进行筛选

过滤命令:

udp.length<30

 

GY_1202
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【wrieshark】过滤器
青火
08-15 988
test
Wireshark过滤器规则
Sun_Rise2011的专栏
08-16 3376
一、Wireshark过滤器 Wireshark主要提供两种主要的过滤器 1、捕获过滤器:当进行数据包捕获时,只有那些满足给定条件的包含/排除表达式的数据 包会被捕获。选择capture->interfaces-->options,打开capture options对话框,在 capture filter输入相关语句。 1)捕获过滤器的BPF语法: Type:指出名字或数字
深入解析Wireshark2:过滤器与TCP三次握手分析
Thanks_ks的IT探秘之旅
05-16 1146
本博客深入探讨了Wireshark这一强大的网络分析工具,从捕获过滤器到显示过滤器的设置与应用,再到针对数据链路层、网络层、传输层、应用层等各个网络层次的常见显示过滤需求,提供了详尽的过滤表达式和操作步骤。此外,博客还介绍了如何利用Wireshark分析TCP三次握手过程及TCP数据包,帮助读者更好地理解网络协议和数据传输过程。无论是网络工程师、安全分析师还是系统管理员,都能从这篇博客中获得实用的Wireshark使用技巧和网络分析知识。
Wireshark——过滤器设置
qq_45951891的博客
11-04 9199
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark抓包日常运维实用过滤
最新发布
weixin_42728126的博客
06-07 813
Wireshark 是一款功能强大的网络分析工具,适用于网络专业人员。它提供了出色的过滤器,您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量,并缩小要查找的数据类型。
Wireshark 过滤器使用
LLinslemon的博客
08-16 8993
Wireshark 使用手册
Wireshark常用过滤使用方法
君君的博客
05-27 2万+
过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在F...
wireshark抓包使用与过滤方法
weixin_44610894的博客
07-30 1万+
1.选择PC上网卡 2.抓包成功 二、Wireshark常用过滤使用方法 1.过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 2.端口过滤。 如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过...
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
顾三殇 —— 博客空间(软件测试)
03-29 3万+
WireShark 捕获过滤器的超全使用教程
wireshark之显示过滤
ChuMeng1999的博客
02-10 1515
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 本实验在完成实验《wireshark之文件还原》后进行,该实验涉及了wireshark的基本操作,里面涉及了较为基础的数据包显示过滤语句。 Wireshark本质上是对网络数据流的记录,因此,您在实验前,最好对常见的网络协议有一定的了解。如果您不是很了解也没关系,我们会在实验中有较为基础的讲解。 Wireshark过滤器表达式的比较操作符: wireshark过滤器表达式的逻辑操作符: 实验目的 1.掌握常见的包显示过滤语句。 2.会
wireshark过滤器
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
Wireshark过滤规则.docx
05-28
文档中提到的过滤规则是Wireshark的核心功能之一,能够帮助用户快速筛选出感兴趣的数据包,提高分析效率。 1. **IP过滤**: - 使用`ip.src eq IP_ADDRESS`或`ip.dst eq IP_ADDRESS`可以过滤出源IP或目标IP为指定...
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器Wireshark 和 TShark 中的一个强大功能,能够帮助用户从数据包跟踪中去除干扰,只显示感兴趣的数据包。过滤器可以比较协议中的字段与特定值之间的差异,比较...
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark过滤语句的使用手册
11-27
wireshark的抓包过滤语句详细解释,甚至细致到协议子类。
WireShark_过滤语法
wpces的博客
10-15 369
/* WireShark 过滤语法 */ 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.po...
wireshark数据包过滤
qq_38473097的博客
06-16 8617
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 通过wireshark抓到的数据包数量可能十分的庞大,这是就要会一些wireshark的多虑语句进行数据包的过滤缩小范围。更加方便进行数据包的分析。 1,通过ip地址 1)source为原ip地址,destination为目标ip地址 ip.src== 192.168.254.134 过滤
Wireshark 实用篇:Wireshark 抓包常用过滤命令
彪锅锅来啦
06-09 2万+
Wireshark 抓包常用过滤命令
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark 安装
02-22
Wireshark是一个开源的网络协议分析工具,它可以用于捕获和分析网络数据包。以下是Wireshark的安装步骤: 1. 访问Wireshark官方网站:https://www.wireshark.org/ 2. 在下载页面上,选择适合您操作系统的版本。Wireshark提供了Windows、macOS和Linux等多个平台的安装包。 3. 点击下载链接,下载安装包到您的计算机上。 4. 执行安装包,按照安装向导的指示进行安装。在安装过程中,您可以选择是否安装WinPcap或Npcap,这是Wireshark所需的网络捕获库。 5. 完成安装后,您可以在开始菜单或应用程序文件夹中找到Wireshark的快捷方式。 6. 启动Wireshark后,您可以选择要监视的网络接口,并开始捕获和分析数据包。 请注意,安装Wireshark可能需要管理员权限。此外,在使用Wireshark进行网络分析时,请确保您有合法的授权和遵守相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值