如何使用Wireshark进行 关键字过滤、报文过滤、报文关键字过滤 以及查找

最新推荐文章于 2023-06-07 10:26:22 发布
最新推荐文章于 2023-06-07 10:26:22 发布
阅读量3w 收藏 20
点赞数 3
分类专栏: Wireshark 文章标签: Wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fan7983377/article/details/101553100
版权

推荐

Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式)

Wireshark常用过滤使用方法

过滤

打开主页面能看到很多报文,但是从这么多报文中筛选我们需要的某个类型的报文,就需要用到表达式功能,比如下面,只让列表显示Pairing相关的内容:
在这里插入图片描述

  1. 首先点击“表达式…”

在这里插入图片描述

  1. 然后输入首先在下面搜索的范围,比如我们这里要从airoha里面获取相关的内容,这里就输入“airoha” ,然后在左上角筛选出来的列表中选中我们想要筛选的类型,然后点击右边的关系,比如我们想要搜索的是包含关系,这里就选中“contains”,然后在下面值那一项输入要匹配的关键字,比如这里我们要匹配“Pairing”相关的,然后我们点击底部的“确定”,

在这里插入图片描述

  1. 输入框里的内容就是软件生成的表达式,然后点击输入框后面的箭头,下面列表就只显示跟 输入关键字相关的内容了!

在这里插入图片描述

搜索

关于搜索内容可以参考这一篇文章:如何使用Wireshark进行 关键字搜索过滤/搜索报文关键字/字符串查找

拓展

常用功能

切换抓包时间的显示方法

视图 -》时间显示格式 ,可在绝对时间和相对时间格式中来回切换

使用 Ctrl + T
可将选中的抓包,标记为第一个包,以此为参考用相对时间来标记

使用追踪流
右击选中的包,选择追踪流,选择对应追踪协议

捕获过滤器

捕获过滤器是网络驱动层面的过滤器

很多网络报文过滤软件支持捕获过滤器,包括 tcpdump

菜单栏 -》捕获 -》选项 -》选中需要过滤的接口 -》窗口下方输入过滤条件 -》点击开始

过滤语法:BPF 语法

例如,抓取 80 端口下,Http GET 请求:

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

显示过滤器

显示过滤器针对已经捕获的报文进行过滤显示

显示过滤器是 wireshark 独有的功能

在报文捕获界面,最上方可直接输入过滤条件

过滤条件的两种查询方法:

方法1:视图 -》内部 -》支持的协议

方法2:点击过滤输入框,之后有一个表达式的 button

F-Fan
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark过滤语句的使用手册
11-27
wireshark的抓包过滤语句详细解释,甚至细致到协议子类。
Wireshark过滤规则.docx
05-28
目前最好用的抓包工具,网络管理员最常用的网络管理工具。文档中总结了常用的一些wireshark过滤规则汇总。非常基础,但是也非常实用。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行过滤如tc
使用wireshark过滤/查找协议里面的特定内容
Fems_123_的博客
06-24 1万+
一、使用wireshark命令过滤: 1.tcp的载荷:tcp contains "/api" 说明:在tcp报文过滤出含有 /api 内容的报文; 如下图: 2.其它类型协议同理可以尝试: http contains "sense_version" 二、通过追踪流进一步查找自己需要的内容: 1.点击上面过滤报文,右键选择对应的流,如下图: 2.在查找框中输入自己需要查询的内容: ...
wireshark学习随手记
Season@HangZhou 专栏
03-24 1055
一、基本语法。 a)        ip.src == 192.168.0.2 && ip.dst == 192.168.0.3。红色部分可以是&&、||、! 等(或相应的英文:and、or、not)。     二、针对协议的过滤   (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。                表达式为:http   (2)需要捕获多
wireshark过滤包规则
qq_40298645的博客
06-21 5198
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
如何使用Wireshark进行 关键字搜索过滤/搜索报文关键字/字符串查找
ROOM-201
07-01 6万+
之前查找怎么搜索,网络上好多写的不是很清楚,摸索半天终于找到了在哪点出关键字搜索。记录一下。 默认的wireshark过滤界面如图所示: 之后点这个小放大镜图标,就会弹出新的一栏搜索菜单,如图所示: 然后配置搜索条件,即可进行字符串搜索,找出含有该字符串的报文。 ...
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 5175
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 1万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark内容过滤方法
情义唯真,友谊方长存
02-23 2万+
关键字说明: “eq” 和 “==”表示等同,and” 表示并且,“or”和“||”表示或者。“!” 和 “not”表示取反。过滤方法: 一、针对IP地址的过滤。   (1)源地址    表达式为:ip.src == 192.168.0.1    ip.src == 10.230.0.0/16 显示来自10.230网段的封包。   (2)目的地址
GOOSE报文过滤方法研究
04-18
面向通用对象的变电站事件( GOOSE) 是IEC 61850 标准用于解决智能电子设备( IED) 之间 实时信号通信的多播通信机制,但标准中推荐的多播报文过滤方法在实际工程中不具备可操作性。 分析和比较了3 种多播报文过滤机制的特点,认为静态配置交换机多播过滤是目前IEC 61850 变 电站应用GOOSE 切实可行的方案,提出了交换机配置定值化管理的概念。交换机配置定值化管 理是数字化变电站的必然趋势。IEC 61850 标准应采纳统一的动态多播地址管理协议实现交换机 动态多播地址过滤,以简化变电站网络设备的管理。
Wireshark过滤器说明文档中文版
03-02
Wireshark过滤器说明文档中文版
PROFINet报文,可用wireshark打开
09-23
PROFINet协议以太网报文,可以用wireshark软件打开,适用于学习PROFINet报文解析,学习各种工业以太网协议可参考本人其他下载文件
iec104以太网报文可用wireshark打开
09-21
iec104协议以太网报文,可以用wireshark软件打开,适用于学习iec104报文解析,学习各种工业以太网协议可参考本人其他下载文件
node-v9.2.1-linux-x86.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v9.1.0-linux-s390x.tar.xz
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2024年中国MXene行业研究报告.docx
05-06
2024年中国MXene行业研究报告
TensorFlow安装步骤
05-06
附件是TensorFlow安装步骤,文件绿色安全,请大家放心下载,仅供交流学习使用,无任何商业目的!
ISO IEC 27001-2022 信息安全、网络安全和隐私保护信息安全管理系统要求.pdf
05-06
ISO IEC 27001-2022 信息安全、网络安全和隐私保护信息安全管理系统要求.pdf
wireshark过滤关键字
09-19
Wireshark是一个功能强大的网络封包捕获和分析工具。它可以用来可视化和解析从计算机网络中传播的数据包,帮助网络管理员和安全专家分析网络流量。 Wireshark提供了多个过滤选项,可以帮助用户选择性地查看和分析关键字相关的封包。以下是一些常见的过滤关键字的方法: 1. 执行简单的字符串过滤Wireshark提供了一个过滤器条,用户可以在其中输入一个字符串,只有含有该字符串的封包才会显示。这可以用来搜索关键字,比如IP地址、域名或HTTP请求。 2. 过滤器运算符:Wireshark还支持多种逻辑运算符,比如”and”、“or”、“not”等。这些运算符可以帮助用户创建更复杂的过滤规则,以更准确地查找关键字相关的封包。 3. 运用Wireshark提供的内置过滤关键字Wireshark还提供了一些内置的过滤关键字,比如”ip.addr”、“tcp.port”、“http.request.method”等。用户可以通过使用这些关键字来设置更具体的过滤器,以按照IP地址、端口或者HTTP请求方法来查找封包。 4. 使用Wireshark过滤器表达式:Wireshark支持更高级的过滤器表达式,可以使用逻辑操作符、比较运算符、正则表达式等。这些表达式可以更精确地匹配并过滤关键字相关的封包。 总之,Wireshark过滤功能可帮助用户快速定位和分析关键字相关的网络封包。无论是业务流量分析、网络故障排查还是安全审计,Wireshark都是一个非常有用的工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值