Wireshark过滤

已于 2024-01-21 22:14:10 修改
阅读量6k 收藏 21
点赞数 3
分类专栏: 运维 文章标签: wireshark 信息与通信 tcpdump
于 2023-06-10 20:57:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GY_1202/article/details/130856654
版权

        wireshark有两种过滤方式:捕获过滤器、显示过滤器。

1.捕获过滤器

        在抓包之前就设定好过滤条件,只抓取符合条件的数据包。

390f1a332a2b4d5ca31a07a8d1dab0b5.png

 关于捕获过滤器的一些常用语法,可以在工具栏中,依次点击“捕获”-->“捕获过滤器”中查看。

a08c5722ba384b5aa1bc0073de780e28.png

 

比较符号
&& 或 and
|| 或 or

! 或 not
常用过滤表达式
源地址过滤src www.baidu.com
目的地址过滤dst www.baidu.com
目的地址端口过滤dst port 80
协议过滤udp

2.显示过滤器

        在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。

① 过滤值比较符号及表达式之间的组合

英文符号描述及示例
eq==等于 ip.src == 192.168.1.30
ne!=不等于 ip.src != 192.168.1.30
gt>大于 frame.len > 10
lt<小于 frame.len < 128
ge>=大于等于 frame.len ge 10
le<=小于等于 frame.len <= 128
contains 包含 sip.To contains "xxx"
matches~正则匹配 host matches "acme\.(org|com|net)"

bitwise_and

&

位与操作 tcp.flags & 0x01

and&&AND逻辑与 ip.src == 192.168.1.30 and tcp.flags.fin
or||OR逻辑或 ip.src == 192.168.1.30 or ip.src == 192.168.2.30
xor^^XOR逻辑异或 tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
not!NOT逻辑非 not llc

② 针对IP进行过滤

case 1 筛选出源 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.2.30 

case 2 筛选出目的地址是192.168.1.88的数据包

过滤命令:

ip.dst_host == 192.168.1.88 

case 3 筛选出源 IP 或者目的 IP 地址是 192.168.1.30 的全部数据包

ip.addr == 192.168.1.30

case 4 排除 case 3 的数据包,需要加 “!”

过滤命令:

!(ip.addr == 192.168.1.30)

case 5 筛选出源 IP 地址是 192.168.1.30 且目的 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.1.30 && ip.dst_host == 192.168.2.30

case 6 筛选出源 IP 地址是 192.168.1.30 或者源 IP 地址是 192.168.2.30 的数据包

过滤命令:

ip.src_host == 192.168.1.30 && ip.src_host == 192.168.2.30

③ 针对端口进行过滤

case 1 筛选源端口和目的端口为80的数据包(以TCP协议为例)

过滤命令:

tcp.port == 80                  

case 2 根据 TCP 目的端口筛选数据包

过滤命令:

tcp.dstport == 80        

case 3 根据 UDP 源端口筛选数据包

过滤命令:

udp.srcport == 80    

case 4 筛选不低于某端口的数据包(以UDP协议为例)

过滤命令:

udp.port >= 80

 ④ 针对协议进行过滤

获取某种协议数据包,仅需要把协议名字以小写的形式输入即可。常用的协议有 http、udp、tcp、dns、ip、ssl、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip ...

case 1 仅筛选http协议

过滤命令:http              

case 2 筛选多种协议数据包

过滤命令:http or telnet 

拓展:根据 http 请求的一些数据包筛选

case 1 精确筛选域名

过滤命令:

http.host==baidu. com

case 2 模糊筛选域名

过滤命令:

http.host contains 'www.baidu.com'

case 3 筛选请求地址中包含"alarm” 的请求

过滤命令:

http.request.uri contains 'Alarm' (contains 后的关键字区分大小写)

http. request. uri matches 'alarm'  (matches 后的关键字不区分大小写)

case 4 筛选请求的content type类型

过滤命令:

http.content_type ==' text/html'

case 5 筛选http请求方法

过滤命令:

http.request.method==’ POST’

case 6 筛选http响应状态码

过滤命令:

http.response.code==302

 ⑤ 针对长度进行筛选

过滤命令:

udp.length<30

 

GY_1202
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark过滤语法总结
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark过滤规则.docx
05-28
文档中提到的过滤规则是Wireshark的核心功能之一,能够帮助用户快速筛选出感兴趣的数据包,提高分析效率。 1. **IP过滤**: - 使用`ip.src eq IP_ADDRESS`或`ip.dst eq IP_ADDRESS`可以过滤出源IP或目标IP为指定...
wireshark过滤器
03-17
NULL 博文链接:https://eyesmore.iteye.com/blog/543452
wireshark常用过滤命令
识途老码
06-24 1151
wireshark常用过滤命令
Wireshark抓包日常运维实用过滤
weixin_42728126的博客
06-07 832
Wireshark 是一款功能强大的网络分析工具,适用于网络专业人员。它提供了出色的过滤器,您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量,并缩小要查找的数据类型。
Wireshark——过滤器设置
qq_45951891的博客
11-04 9267
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark 过滤器使用
LLinslemon的博客
08-16 8993
Wireshark 使用手册
工具WireShark的抓包筛选使用
思维小刀
05-25 3985
根据通讯协议进行筛选数据包,例如http协议、dns协议等等。
14种功能强大的Wireshark过滤器介绍
虹科网络安全的博客
05-14 1676
本文介绍14种功能强大的wireshark过滤器,能帮您快速在大量流量数据包中提取您需要的数据,快速分析流量
wireshark 过滤设置
Fly_Sky
11-21 1480
(ip.src == 源IP地址 and port == 源端口号) or (ip.dst == 目标IP地址 and port == 目标端口号)4. **过滤特定源或目标IP地址的ICMP数据包:**3. **过滤源或目标端口为特定端口的数据包:**8. **过滤特定IP地址和端口的数据包:**6. **过滤特定协议和关键字的数据包:**5. **过滤特定协议和端口的数据包:**7. **过滤特定网络接口的数据包:**1. **过滤特定主机的数据包:**9. **过滤出现错误的数据包:**
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器Wireshark 和 TShark 中的一个强大功能,能够帮助用户从数据包跟踪中去除干扰,只显示感兴趣的数据包。过滤器可以比较协议中的字段与特定值之间的差异,比较...
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark过滤语句的使用手册
11-27
wireshark的抓包过滤语句详细解释,甚至细致到协议子类。
Wireshark抓包及常用过滤方法
热门推荐
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
Wireshark使用鉴赏(都是干货)
qq_73870170的博客
11-02 723
该表达式检查每个HTTP请求或响应中的协议行是否包含字符串"HTTP/1.",如果包含,则将该HTTP流量显示在Wireshark捕获的分析窗口中。http.request.method == "GET" && http 过滤出HTTP请求方法为GET且包含特定字段的HTTP流量。在Wireshark中,"request.method"和"contains"是两种不同的过滤器表达式,它们有着各自的用途。,你可以使用"http.request.method == "GET"这个表达式。
Wireshark的捕获过滤器
weixin_47763079的博客
01-24 473
捕获过滤器使用柏克莱封包过滤器(Berkeley Packet Filter,即BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。打开过滤器的管理界面,左面部分为过滤器,右面为过滤器表达式。Wireshark过滤器,顾名思义,作用是对数据包进行过滤处理。捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。3.协议Proto: ether、ip、tcp、udp、http、ftp。常用捕获过滤器,可以通过“管理捕获过滤器”,进行管理。
wireshark 关与端口的过滤规则
Dorothy_L的博客
10-15 3822
首先我们在抓到包的情况下。在Filter处填写表达式:tcp.port eq 80。表示获得tcp协议且端口为80的数据包(包含来源端口以及目的端口)。 wireshark过滤规则系列教程(针对端口和协议) 在Filter处填写表达式:tcp.port eq 80 or udp.port eq 514。表示获得tcp协议且端口为80,udp协议且端口为514的数据包。 wireshark过滤规则系...
wireshark简单的过滤原则
m0_62207482的博客
02-25 276
过滤 80 端口:tcp.port==80,源端口:tcp.srcport==80,目的端口:tcp.dstport==80。过滤源 ip 地址:ip.src==1.1.1.1;,目的 ip 地址:ip.dst==1.1.1.1;过 滤 get/post 包 http.request.mothod=="GET/POST"
802.11 wireshark 抓包
最新发布
又见南风的博客
07-24 920
本人习惯使用 Omnipeek 抓包分析,所以 wireshark 的实验只讲到抓包完成。Windows 环境采用 wireshark 抓包是比较麻烦的,因为支持在 Windows 环境中支持抓包的网卡并不多,所以本次直接用 Linux 环境来做试验。使用网卡为:RT3070L,70块钱一张的网卡。
Wireshark 安装
02-22
Wireshark是一个开源的网络协议分析工具,它可以用于捕获和分析网络数据包。以下是Wireshark的安装步骤: 1. 访问Wireshark官方网站:https://www.wireshark.org/ 2. 在下载页面上,选择适合您操作系统的版本。Wireshark提供了Windows、macOS和Linux等多个平台的安装包。 3. 点击下载链接,下载安装包到您的计算机上。 4. 执行安装包,按照安装向导的指示进行安装。在安装过程中,您可以选择是否安装WinPcap或Npcap,这是Wireshark所需的网络捕获库。 5. 完成安装后,您可以在开始菜单或应用程序文件夹中找到Wireshark的快捷方式。 6. 启动Wireshark后,您可以选择要监视的网络接口,并开始捕获和分析数据包。 请注意,安装Wireshark可能需要管理员权限。此外,在使用Wireshark进行网络分析时,请确保您有合法的授权和遵守相关法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值