wireshark常用的过滤命令(协议分析利器,你值得拥有。)

最新推荐文章于 2024-05-14 14:25:05 发布
最新推荐文章于 2024-05-14 14:25:05 发布
阅读量1.1k 收藏 7
点赞数 3
文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Malloc_New/article/details/50924240
版权

  1. 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;

  2. 端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;

  3. 协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;

  4. http模式过滤。如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST";

  5. 连接符and的使用。过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。 

  6. 更为详细的说明。
    过 滤 IP,如来源IP或者目标IP等于某个IP
    例子:
    ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
    或者
    ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

    2. 过滤 端 口

    例子:
    tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80

    udp.port eq 15000

    过滤 端口范围
    tcp.port >= 1 and tcp.port <= 80

    3. 过 滤 协议

    例子:
    tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    oicq
    bootp
    等 等

    排除arp包,如!arp 或者 not arp

    4. 过 滤 MAC

    太以网头 过滤
    eth.dst == A0:00:00:04:C5:84 // 过滤 目 标mac
    eth.src eq A0:00:00:04:C5:84 // 过 滤 来源mac
    eth.dst==A0:00:00:04:C5:84
    eth.dst==A0-00-00-04-C5-84
    eth.addr eq A0:00:00:04:C5:84 // 过滤 来 源MAC和目标MAC都等于A0:00:00:04:C5:84的

    less than 小于 < lt
    小于等于 le

    等 于 eq

    大于 gt
    大于等于 ge

    不等 ne


    5.包长度 过 滤

    例子:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,从eth开始到最后

    eth ---> ip or arp ---> tcp or udp ---> da

    ta

    6.http 模式 过滤

    例子:
    http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."

    // GET包
    http.request.method == "GET" && http contains "Host: "
    http.request.method == "GET" && http contains "User-Agent: "
    // POST包
    http.request.method == "POST" && http contains "Host: "
    http.request.method == "POST" && http contains "User-Agent: "
    // 响应包
    http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
    http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
    一 定包含如下
    Content-Type:


    7.TCP参数 过 滤

    tcp.flags 显示包含TCP标志的封包。
    tcp.flags.syn == 0x02    显示包含TCP SYN标志的封包。
    tcp.window_size == 0 && tcp.flags.reset != 1

    8. 过滤 内容


    tcp[20] 表示从20开始,取1个字符
    tcp[20:]表示从20开始,取1个字符以上
    tcp[20:8]表示从20开始,取8个字符
    tcp[offset,n]

    udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数,是否与==后面的数据相等?
    udp[8:1]==32  如果我猜的没有错的话,应该是udp[offset:截取个数]=nValue
    eth.addr[0:3]==00:06:5B

    例 子:
    判断upd下面那块数据包前三个是否等于0x20 0x21 0x22
    我们都知道udp固定长度为8
    udp[8:3]==20:21:22

    判 断tcp那块数据包前三个是否等于0x20 0x21 0x22
    tcp一般情况下,长度为20,但也有不是20的时候
    tcp[8:3]==20:21:22
    如 果想得到最准确的,应该先知道tcp长度

    matches(匹配)和contains(包含某字符串)语法
    ip.src==192.168.1.107 and udp[8:5] matches "\\x02\\x12\\x21\\x00\\x22"
    ip.src==192.168.1.107 and udp contains 02:12:21:00:22
    ip.src==192.168.1.107 and tcp contains "GET"
    udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

    例子:
    得到本地qq登陆数据包(判断条 件是第一个包==0x02,第四和第五个包等于0x00x22,最后一个包等于0x03)
    0x02 xx xx 0x00 0x22 ... 0x03
    正确
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff][\\x00-\\xff]\\x00\\x22[\\x00-\\xff]+\\x03$"
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" // 登陆包
    oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$" or tcp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$")
    oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" or tcp[20:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$")

    不 单单是00:22才有QQ号码,其它的包也有,要满足下面条件(tcp也有,但没有做):
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[11:2]==00:80)
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[15:4]==00:00:00:00)
    说明:
    udp[15:4]==00:00:00:00 表示QQ号码为空
    udp[11:2]==00:00 表示命令编号为00:00
    udp[11:2]==00:80 表示命令编号为00:80
    当命令编号为00:80时,QQ号码为 00:00:00:00

    得到msn登陆成功账号(判断条件是"USR 7 OK ",即前三个等于USR,再通过两个0x20,就到OK,OK后面是一个字符0x20,后面就是mail了)
    USR xx OK mail@hotmail.com
    正确
    msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches "^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+"

    9.dns 模式 过滤


    10.DHCP

    以 寻找伪造DHCP服务器为例,介绍 Wireshark 的用法。在显 示 过滤 器中加入 过 滤 规则,
    显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack)的信息:
    bootp.type==0x02 and not ip.src==192.168.1.1

    11.msn

    msnms && tcp[23:1] == 20 // 第四个是0x20的msn数据包
    msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
    msnms && tcp[20:3]=="USR" // 找到命令编码是USR的数据包
    msnms && tcp[20:3]=="MSG" // 找到命令编码是MSG的数据包
    tcp.port == 1863 || tcp.port == 80

    如何判断数据包是含 有命令编码的MSN数据包?
    1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80
    2) 数据这段前三个是大写字母,如:
    tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
    3)第四个为0x20,如:tcp[23:1] == 20
    4)msn是属于TCP协议的,如 tcp

Malloc_New
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark常用协议过滤
weixin_56306210的博客
07-12 1万+
wireshark常用协议过滤
wireShark常用过滤规则
ckm1607011的博客
05-11 1670
在filter框中输入过滤条件可以指定显示满足条件的数据包; 1.过滤源ip:ip.src==192.186.0.107,则只显示源ip等于192.186.0.107的数据包; 2.过滤目的ip:ip.dst==192.186.0.101,则只显示目的ip等于192.186.0.101的数据包; 3.端口过滤tcp.port==80,则只显示源端口和目的端口为80的数据包;tcp.srcport==80,则只显示源端口为80的数据包;tcp.dstport==80,则只显示目的端口为80的数据包
wireshark协议大致过滤规则
最新发布
weixin_43326436的博客
05-14 397
ip.addr == 192.168.1.10,显示源ip地址或目标ip地址为192.168.1.10的报文列表。如果要以报文的数据位作为筛选条件,可以在数据详情区选择Data,然后右击——>作为过滤器——>选中即可。ip.src ==192.168.1.10,显示主机ip地址为192.168.1.10发送的报文列表。ip.dst==192.168.1.10,显示主机ip地址为192.168.1.10的接收的报文列表。直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
常用Wireshark显示过滤器表达
$好记性还是要多记录$
08-27 1787
常见用显示过滤需求及其对应表达 数据链路层MAC: 筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26 筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26 网络层IP: 筛选ip地址为192.168.1.1的数据包----ip.addr ==...
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark过滤总结
willingtolove的博客
03-18 620
文章目录#Wireshark提供了两种过滤器:1、捕获过滤器2、显示过滤器#过滤器具体写法#显示过滤器写法1、过滤值比较符号及表达之间的组合2、针对ip的过滤3、针对协议过滤4、针对端口的过滤(视传输协议而定)5、针对长度和内容的过滤5、针对http请求的一些过滤实例。#捕捉过滤器写法1、比较符号2、常用表达实例 #Wireshark提供了两种过滤器: 1、捕获过滤器 捕获过滤器:在抓包之...
计算机网络原理实验报告---Wireshark实验:HTTP协议分析
01-20
本次实验是关于计算机网络原理的Wireshark工具使用,主要目标是对HTTP协议进行深入分析。实验过程中,我们使用Wireshark对电脑的WLAN端口进行抓包,观察并解析访问www.baidu.com网站时的网络通信过程。通过对HTTP...
Wireshark分析协议数据包
10-11
Wireshark是一款强大的网络协议分析工具,用于捕获和显示网络封包的详细信息,它可以帮助网络管理员、开发者以及安全专家深入理解网络通信的过程。在Wireshark中,我们可以分析多种协议的数据包,包括IP、UDP、TCP、...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
0 Wireshark抓包常用过滤规则.docx
10-27
Wireshark抓包常用过滤规则,便于抓包根据条件过滤,有语法举例。适用于爱好抓包分析的朋友。
wireshark 路由协议分析
04-20
同时,了解Wireshark提供的各种视图和工具,如时间线、统计图表和协议层次结构,将有助于你更有效地分析路由协议。 总的来说,Wireshark是一个强大的工具,能够让你深入了解网络中的路由协议操作。通过对OSPF和RIP...
Wireshark过滤规则
chilv的专栏
11-24 380
转自:http://yusy1116.blog.163.com/blog/static/6467259220101992246574/ http://blog.csdn.net/yhwxxx/article/details/5643095 之前学习Wireshark,看到wireshark简明教程里有关过滤器的介绍,特别是新手不明白捕捉过滤器和显示过滤器的区别与作用。这篇文章感
wireshark过滤包规则
qq_40298645的博客
06-21 5454
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark 显示过滤常用规则及代码示例
殷阳的博客
07-26 2834
Wireshark 使用显示过滤规则来过滤已捕获的数据包,及按规则显示(https://wiki.wireshark.org/ColoringRules)特定颜色。 你可以在显示过滤参考(https://www.wireshark.org/docs/dfref/)中找到主要的显示过滤协议字段列表。 如果你需要针对特定协议进行显示过滤,请参阅协议参考(https://wiki.wireshark.org/ProtocolReference)。
使用wireshark过滤/查找协议里面的特定内容
Fems_123_的博客
06-24 1万+
一、使用wireshark命令过滤: 1.tcp的载荷:tcp contains "/api" 说明:在tcp报文中过滤出含有 /api 内容的报文; 如下图: 2.其它类型协议同理可以尝试: http contains "sense_version" 二、通过追踪流进一步查找自己需要的内容: 1.点击上面过滤的报文,右键选择对应的流,如下图: 2.在查找框中输入自己需要查询的内容: ...
Wireshark抓包及常用过滤方法
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
Wireshark 常用的抓包过滤表达
Cloud-Future的博客
03-11 4391
这里的抓包过滤器是指下面的输入框,不是捕获过滤器。 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都...
wireshark常用过滤命令
weixin_34194317的博客
09-26 1234
  我们使用wireshark抓包,却不知道如何分析这些包,也无法从海量的包中提取自己需要的数据,下面简单介绍下wireshark过滤规则。 过滤源ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;   ...
#资源达人分享计划# Wireshark官网电子文档PDF版本
08-04
Wireshark是一款全球领先的网络协议分析器,它的功能强大,但也因为其丰富的特性而对初学者造成一定的困扰。《Wireshark用户指南》是Wireshark团队为了提升用户体验而编写的,旨在帮助用户更好地理解和使用这款工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值