截包工具wireshark常用表达式

最新推荐文章于 2024-07-10 16:41:45 发布
最新推荐文章于 2024-07-10 16:41:45 发布
阅读量1k 收藏
点赞数
文章标签: wireshark 截包 表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dingsai88/article/details/39232355
版权

一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:
  (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
           表达式为:ip.src == 192.168.0.1
  (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
           表达式为:ip.dst == 192.168.0.1
  (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
           表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
  (4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
           表达式为:!(表达式)

二、针对协议的过滤
  (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
                表达式为:http
  (2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
           表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
  (3)排除某种协议的数据包
           表达式为:not arp      !tcp

三、针对端口的过滤(视协议而定)
  (1)捕获某一端口的数据包
           表达式为:tcp.port == 80
  (2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
           表达式为:udp.port >= 2048

四、针对长度和内容的过滤
  (1)针对长度的过虑(这里的长度指定的是数据段的长度)
           表达式为:udp.length < 30   http.content_length <=20
  (2)针对数据包内容的过滤

 

      表达式为:http.request.uri matches "vipscu"  (匹配http请求中含有vipscu字段的请求信息) 

 

 

原文地址:

http://hi.baidu.com/576699909/item/0db95adc42e432d9251f40a3

 

 

 

一、IP过滤:包括来源IP或者目标IP等于某个IP
比如:ip.src addr==192.168.0.208  or ip.src addr eq 192.168.0.208 显示来源IP
        ip.dst addr==192.168.0.208  or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
        tcp.port == 80
        tcp.port eq 2722
        tcp.port eq 80 or udp.port eq 80
        tcp.dstport == 80 // 只显tcp协议的目标端口80
        tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者  not ssl

四、包长度过滤:
比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤:
例子:
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."

// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

 

 

 

dingsai88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Wireshark抓包工具的使用
番薯大佬的专栏
10-23 898
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 Wireshark不是入侵侦测系统(Intrusion Detection System,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分
Wireshark抓包工具语法的使用
Zzzz-JIA的博客
02-09 611
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。主要应用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 除了上面提到的,Wireshark还可以用在其它许多场合 wireshark有两种过滤器: 捕捉过滤器(CaptureFilters):捕捉过滤器在抓抱前进行设置,
Wireshark基础使用和表达式语法
qq_35634181的博客
04-07 6413
Wireshark的世界里有2种过滤器,分别是捕获过滤器和显示过滤器,采用恰当的过滤器,不但能提高数据分析的灵活性,而且能让分析者更快看到自己想要的分析对象。 1.在使用Wireshark时,需要先选择一个接口, 2.在使用Wireshark进行抓包之前,可以使用捕获过滤器来捕获我们 ...
SCTP_window7
anloan的专栏
10-25 1096
今天第一次接触实验室的工作,老师让我们根据程序完成一个小功能,弄懂sctpdrv的select的功能。因为老师在跑的时候遇到了蓝屏的情况,各种尝试解决未果的情况下,相当烦恼。 慢慢入手: Wireshark FILTER的操作: 首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。 一、针对wir
wireshark 实用过滤表达式
热门推荐
weixin_49231595的博客
01-13 1万+
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 1.关键字 “与”:“eq”和“==”等同,可以使用“and”表示并且, “或”:“or”表示或者。 “非”:“!"和"not”都表示取反。 多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。 2.针对ip的过滤 针对wireshark常用的自然是针对IP地址的过滤。其有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满...
wireshark表达式
Dances with Wolves 的专栏
12-13 915
一、针对wireshark常用的自然是针对IP地址的过滤。其有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。            表达式为:ip.src == 192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。            表达式为:ip.dst == 192.168.0
Wireshark 常用的抓包过滤表达式
Cloud-Future的博客
03-11 4387
这里的抓包过滤器是指下面的输入框,不是捕获过滤器。 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都...
Wireshark抓包工具使用教程以及常用抓包规则
03-06
本教程将详细介绍Wireshark的使用方法及常用抓包规则。 一、Wireshark基本操作 1. 安装与启动:Wireshark提供了适用于多种操作系统的版本,如Windows、Linux和macOS。在下载并安装完毕后,通过桌面快捷方式或搜索...
Wireshark抓包工具使用教程以及常用抓包规则.zip
09-16
表达式语法基于wireshark-filter或 pcap-filter,如"tcp.port == 80"将只显示端口80上的TCP流量。此外,还有更复杂的过滤选项,如协议字段、源/目标IP和端口等。 在分析数据包时,Wireshark会解析每个数据包的各个...
Android手机抓包工具
04-16
这些文件可以使用Wireshark等网络分析工具打开查看。 **抓包使用说明文档** 提供的资源应该包含一个抓包使用说明文档,它会详细解释如何操作Tcpdump APK,包括设置过滤条件、解析抓包结果、导出和分析数据包等...
网络抓包软件Wireshark.rar
06-21
2. **协议解析**:Wireshark解析并显示超过1500种网络协议的详细信息,包括TCP/IP、HTTP、FTP、SMTP、UDP等常用协议。通过颜色编码,可以快速识别出不同类型的通信。 3. **过滤与搜索**:用户可以通过自定义的过滤...
c#制作的编程辅助工具,包含:正则表达式、http抓包、socket通讯、字符串编解码、html常用工具
01-26
1. **正则表达式**:正则表达式是用于处理字符串的强大工具,它允许开发者通过模式匹配来查找、替换或分割文本。在编程辅助工具,正则表达式常用于数据验证、文本提取或数据清洗。 2. **HTTP抓包**:HTTP抓包是...
wireshark过滤器基本语法分析
tecoes的博客
04-13 2151
Wireshark抓包过滤器语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
WireShark 语法
bosy_xu的专栏
09-18 2350
<br />总体条件语法<br />||(或),&&(与),或者使用英文:and,or<br />例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />         ip.src eq 192.168.1.107 || ip.dst eq 192.168.1.107<br /> <br />条件表达式:<br />等于:==  或者 eq<br />大于: > 或者 gt<br />小于:< 或者  lt<br />不大于: <= 或者 l
快看这些wireshark 命令,必须得会!
mengmeng_921的博客
04-12 2136
5.2、搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])5.1、搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。Protocol :ether、ip、tcp、udp、http、ftp 指出协议。Direction:src、dst 指出传输方向 (源 、目的)
wireShark捕获规则语法,tcpdump基本使用
General_zy的博客
04-26 1432
ARP地址转换表是依赖于计算机高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。而免费ARP的请求报文,目标IP地址是自己的IP地址。
wireshark简单使用
qq_52107280的博客
08-18 298
wireshark简单使用 一.过滤表达式规则 1.抓包过滤器语法和实例 抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非) (1)协议过滤 比较简单,直接在抓包过滤框直接输入协议名即可。 TCP,只显示TCP协议的数据包列表 HTTP,只查看HTTP协议的数据包列表 ICMP,只显示ICMP协议的数据包列表 (2)IP过滤 host 1
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 6292
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式,包含了操作符!根据在IP数据包封装的上层协议类型编号进行过滤,上层协议类型,即传输层的协议类型,有TC协议[6]、UDP协议[17],还有在网络层的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其,回显请求报文的值为 8 回显 响应报文的值为0。
Wireshark 对 https 请求抓包并展示为明文
最新发布
༺ bestcxx的专栏 ༻
07-10 989
我们监听 https 需要连接外网,我本地通过 WIFI 连接,故选择 Wi-Fi:en0。可以在具体某一条上,右键->Follow ,选择 HTTP 或者 TLS 都是可以的。作用是,Chrome 浏览器会把 https 请求的秘钥保存到指定的文件,下一步。比如我们访问 https://www.baidu.com ,然后随便搜什么。如果没有本文的设置,左下角这一块内容是没有的,只会有一个密文信息。如果是想监听本地,就选择 Loopback:lo0。此时捕获的包已经是明文,可以通过域名进行过滤。
wireshark过滤器表达式
05-10
Wireshark是一个流行的网络协议分析工具,它可以捕获和分析网络数据包。在Wireshark,可以使用过滤器表达式来过滤捕获的数据包。以下是一些常用的过滤器表达式: - ip.addr:过滤特定IP地址或IP地址范围的数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dingsai88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值