Wireshark的一些常用命令

已于 2023-06-29 21:20:34 修改
阅读量5.1k 收藏 38
点赞数 6
分类专栏: 随笔 文章标签: Wireshark
于 2021-01-24 15:19:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chest_/article/details/113091156
版权
本文详细介绍了TCP三次握手的过程,并列举了Wireshark中常用的命令进行数据包过滤,包括IP地址、MAC地址、端口以及HTTP请求方式的过滤,帮助读者更好地理解和使用Wireshark进行网络封包分析。
摘要由CSDN通过智能技术生成

Wireshark的命令太多,做个笔记

TCP三次握手协议

第一次握手:客户端的应用程序主动打开,并向服务端发出请求报文段。其首部中SYN=1,seq=x。
第二次握手:服务器应用被动打开。若同意客户端的请求,则发回确认报文。其首部中:SYN=1,ACK=1,ack=x+1,seq=y。
第三次握手:客户端收到确认报文之后,通知上层应用进程已建立,并向服务器发出确认报文。其首部ACK=1,ack=y+1。

运算符

比较运算符

英文写法C语言写法含义
eq==等于
ne!=不等于
gt>大于
lt<小于
ge>=大于等于
le<=小于等于

逻辑运算符

英文写法C语言写法含义
and&&逻辑与
or| |逻辑或
xor^^逻辑异或
not逻辑非

常用命令

ip.addr == 192.168.1.1										##只显示源/目的IP为192.168.1.1的数据包
ip.addr == 192.168.1.1 && http.request.method == "GET"		##只显示IP为192.168.1.1的http get数据包

过滤IP地址

ip.addr == 192.168.1.1							##只显示源/目的IP为192.168.1.1的数据包
ip.src == 192.168.1.1							##只显示源地址是192.168.1.1的数据包,显示一个网段可以用/16/24
ip.dst == 192.168.1.1							##只显示目标地址是192.168.1.1的数据包
												##注:dst表示过滤目标ip, src表示过滤来源ip, addr则同时过滤两者
not ip.src == 1.1.1.1							##不显示源IP为1.1.1.1的数据包
ip.src == 1.1.1.1 or ip.dst == 1.1.1.2			##只显示源IP为1.1.1.1或目的IP为1.1.1.2的数据包

过滤MAC地址

eth.dst == MAC地址 								##过滤目标MAC
eth.src == MAC地址 								##过滤来源MAC
eth.addr == MAC地址 								##过滤来源MAC和目标MAC都等于MAC地址的

过滤端口

tcp.port == 80									##只显示tcp协议来源和目的端口为80的数据包		
tcp.dstport == 80 								##只显示tcp协议的目标端口80
tcp.srcport == 80 								##只显示tcp协议的来源端口80
udp.port == 80									##只显示udp协议来源和目的端口为80的数据包
tcp.port == 80 or udp.port == 80				##只显示tcp或udp协议的来源端口80
tcp.port >= 1 and tcp.port <= 80 				##过滤端口范围

http请求方式过滤

http.response == 1  								##http所有的响应包
http.request.method == "GET"						##只显示GET的数据包	
http.request.method == "POST"						##只显示POST的数据包
http.response==1 && http.response.code==200 		##响应请求成功的包
http.host == "www.baidu.com"						##只显示百度的数据包
http.host mathes "www.baidu.com|baidu.cn" 			##matches可以写多个域名
http.host contains "www.baidu.com" 					##contain只能写一个域名

##注:contains和matches,contains过滤包含指定字符串的数据包,matches用于匹配过滤条件中给定的正则表达式
http.request.method ==“GET” && http contains "Host: "
http.request.method == “GET” && http contains "User-Agent: "
http.request.method ==“POST” && http contains "Host: "
http.request.method == “POST” && http contains "User-Agent: "
http contains “HTTP/1.1 200 OK” && http contains "Content-Type: "
http contains “HTTP/1.0 200 OK” && http contains "Content-Type: "
春日野穹ㅤ
关注
专栏目录
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 1971
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark抓包常用指令
MusicScore的博客
06-20 1290
addr,即包含src 也包含 dst 进一步过滤,tcp协议包,这里len == 24表示,表示TCP负载长度24,这个通常很有用 udp抓包案例分析 640 = 632 + 8 2.UDP报文结构 这里讲一下关键的点前面几个图可以看到Checksum,校验和。 TCP的数据包的校验和计算的数据来源包括三部分:TCP伪首部和TCP首部和TCP数据。TCP计算校验和引入了伪首部,包括后面介绍的UDP。如下图所示,TCP伪首部包括:源地址(32 bit),目标地址(32 bit),Zero
wireshark简单抓包命令
m0_37624078的博客
08-24 5932
一、IP过滤:包括来源IP或者目标IP等于某个IP 比如: ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP   二、端口过滤: 比如: tcp.port eq 80 //...
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工(非常详细)零基础入门到精通,收藏这一篇就够了
Spontaneous_0的博客
09-13 2478
Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤器过滤 HTTP 流量过滤 DNS 流量过滤 TCP 流量。
wareshake 过滤端口_wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)...
weixin_36155560的博客
12-24 813
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。表达式为:ip.src == 192.168.0.1(2)对目的地址为192.168.0.1的包的过滤,即抓...
Wireshark常用命令
热爱学习,喜欢折腾!
09-29 4832
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
wireshark 常用命令
布袋和尚
04-29 300
每次使用 wireshark 过滤数据包时总是需要百度,烦透了。这个博客会逐步积累用到的命令。 1、指定源 IP 和目的 IP ip.src == 192.168.1.12 ip.dst == 192.168.1.45 2、条件之间的与、或 and、or (SAW:Game Over!) ...
快看这些wireshark 命令,必须得会!
mengmeng_921的博客
04-12 2486
5.2、搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])5.1、搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。Protocol :ether、ip、tcp、udp、http、ftp 指出协议。Direction:src、dst 指出传输方向 (源 、目的)
wireshark常用过滤命令
识途老码
06-24 5485
wireshark常用过滤命令
Wireshark 抓包常用过滤命令
最新发布
baidu_41240438的博客
10-12 1112
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令
Wireshark 常用命令
Weison
06-15 8889
Wireshark 常用命令
wireshark基础命令
07-27
个人做题总结
wireshark过滤器使用
qq_41846013的博客
03-23 748
转载自https://blog.csdn.net/cumirror/article/details/7054496 首先要注意,如果你是使用localhost或者127.0.0.1进行测试的,流量是不经过电脑网卡的,所以WireShark无法抓包,如果想抓取本地的包,参考WireShark如何抓取本地localhost的包 Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst
18. wireshark学习-几个常用命令行工具
Daylight
07-16 398
18. 几个常用命令行工具 tshark 命令行模式的wireshark,消耗资源少,也可以用来读取保存好的数据包的捕获文件 editcap 可以把大文件分割成比较小的文件,可以通过开始时间和停止时间捕获数据包中的子集,可以删除捕获数据包中重复的数据 dumpcap 可以理解为更小的Wireshark,消耗资源更小,功能更少 mergecap 把多个文件合并成一个文件 capinfos 显示数据包文件捕获信息的程序 ...
WireShark抓包常用命令
xiejianfeng7的博客
09-21 321
一、针对IP过滤 对源地址为192.168.0.1的包的过滤,ip.src == 192.168.0.1 对目的地址为192.168.0.1的包的过滤,ip.dst == 192.168.0.1 包括源和目的地址,ip.addr == 192.168.0.1 二、针对协议的过滤 捕获某些协议的数据包,http or telnet 排除某种协议的数据包,not arp / !tcp 三、针对端口的过滤 捕获某一端口的数据包,tcp.port == 80 / udp.port == 80 捕获多端
wireshark常用的过滤命令
陈万洲的专栏
04-20 2585
1.ip过滤 查找目的地址:ip.dst==192.168.101.8 查找源地址:ip.src==1.1.1.1   2.端口过滤 源端口和目的端口:tcp.port==80 目的端口:tcp.dstport==80 滤源端口:cp.srcport==80   3.协议过滤 直接输入协议名   4.http模式过滤 过滤get包,http.request.method=
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 2285
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
WireShark
博客定位是个人工作、学习的经验总结
04-07 793
查询udp从第8个字节开始连续2个字节内容是4211的包,udp[8:2] == 4211。查询发往端口0x5544的数据 udp.dstport == 0x55444。查询源自端口0x3956的数据 udp.srcport == 0x3956。查询发送给设备的所有包:ip.dst == 192.168.41.144。查询PC发送的所有包:ip.src == 192.168.41.103。1、 重传命令的长度是62, Frame.len == 62。指定udp从第A个字节开始的连续B个字节内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值