wireshark抓包过滤

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Neo233/article/details/79967089
抓指定主机icmp包
Icmp and ip.host==192.168.168.65


抓指定主机tcp数据包
tcp and ip.host==172.16.10.222


tcp.flags//显示包含TCP标志的封包。
tcp.flags.syn == 0×02//显示包含TCP SYN标志的封包。


一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况: 
(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:ip.src == 192.168.0.1  
(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
表达式为:ip.dst == 192.168.0.1  
(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1  
(5)连接符 and / or  


二、针对协议的过滤  
(1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。                
表达式为:http  
(2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。           表达式为:http or telnet (
多种协议加上逻辑符号的组合即可)  
 
 三、针对端口的过滤(视协议而定)  
(1)捕获某一端口的数据包           
表达式为:tcp/udp.port == 80    过滤源或目的端口
tcp/udp.srcport == 80  过滤源端口
tcp/udp.dstport == 80  过滤目的端口
(2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
表达式为:udp.port >= 2048  
四、针对长度和内容的过滤  四、针对长度和内容的过滤  
(1)针对长度的过虑(这里的长度指定的是数据段的长度)           
表达式为:udp.length < 30   httpcontent_length ="20"
tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身  
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后 frame.len == 119 整个数据包长度,从eth开始到最后    
(2)针对数据包内容的过滤   
http.request.method == “GET”  
http.request.method == “POST”  
http.request.uri == “/img/logo-edu.gif” 
http contains “GET” http contains “HTTP/1.”   // GET包  
http.request.method == “GET” && http contains “Host: ”  
http.request.method == “GET” && http contains “User-Agent: ” // POST包  
http.request.method == “POST” && http contains “Host: ”  
http.request.method == “POST” && http contains “User-Agent: ” // 响应包


四、MAC地址过滤
eth.addr == 00:d0:f8:b5:14   过滤源或目标MAC
eth.src == 00:d0:f8:b5:14    过滤源MAC
eth.dst == 00:d0:f8:b5:14    过滤目标MAC


五、排除
(1)排除某种协议的数据包          
 表达式为:not arp      !tcp  
 (2)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
 表达式为:!(表达式) 
 !(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243) 
 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
 //显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
阅读更多

扫码向博主提问

HowieLee59

非学,无以致疑;非问,无以广识
  • 擅长领域:
  • sdn
  • openflow
  • Ryu
  • english
  • RS
去开通我的Chat快问
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页