wireshark过滤规则

最新推荐文章于 2024-07-11 09:04:28 发布
最新推荐文章于 2024-07-11 09:04:28 发布
阅读量1.5w 收藏 66
点赞数 5
分类专栏: 开发工具 文章标签: wireshark
原文链接:https://www.magentonotes.com/wireshark-filter-http-packet.html
版权

  一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:

  (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。

           表达式为:ip.src == 192.168.0.1

  (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。

           表达式为:ip.dst == 192.168.0.1

  (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。

           表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

  (4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。

           表达式为:!(表达式)

 

  二、针对协议的过滤

  (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。

                表达式为:http

  (2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。

           表达式为:http or telnet (多种协议加上逻辑符号的组合即可)

  (3)排除某种协议的数据包

           表达式为:not arp      !tcp

 

  三、针对端口的过滤(视协议而定)

  (1)捕获某一端口的数据包

           表达式为:tcp.port == 80

  (2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式

           表达式为:udp.port >= 2048

 

  四、针对长度和内容的过滤

  (1)针对长度的过虑(这里的长度指定的是数据段的长度)

           表达式为:udp.length < 30   http.content_length <=20

  (2)针对数据包内容的过滤

      表达式为:http.request.uri matches "vipscu"  (匹配http请求中含有vipscu字段的请求信息)

  

以下是一些示例:

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

http.host==magentonotes.com
http.host contains xxx.com
过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名

http.response.code==302
过滤http响应状态码为302的数据包

http.response==1
过滤所有的http响应包

http.request==1
过滤所有的http请求,貌似也可以使用http.request

http.request.method==POST
wireshark过滤所有请求方式为POST的http请求包,注意POST为大写

http.cookie contains guid
过滤含有指定cookie的http数据包

http.request.uri==”/online/setpoint”
过滤请求的uri,取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
过滤含域名的整个url则需要使用http.request.full_uri

http.server contains “nginx”
过滤http头中server字段含有nginx字符的数据包

http.content_type == “text/html”
过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包

http.content_encoding == “gzip”
过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked”
根据transfer_encoding过滤

http.content_length == 279
http.content_length_header == “279″
根据content_length的数值过滤

http.server
过滤所有含有http头中含有server字段的数据包

http.request.version == “HTTP/1.1″
过滤HTTP/1.1版本的http包,包括请求和响应

http.response.phrase == “OK”
过滤http响应中的phrase

码出钞能力
关注
  • 5
    点赞
  • 66
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark 过滤规则
07-13
### Wireshark过滤规则详解 #### 一、概述 Wireshark是一款强大的网络封包分析软件,它能够捕捉网络中的数据包,并通过多种过滤规则帮助用户进行数据分析。本篇文章主要介绍如何利用Wireshark设置过滤规则,特别是...
网工最爱!这几个Wireshark顶级过滤方法赶紧收好
06-24 1048
中午好,我的网工朋友。Wireshark不仅是一个工具,更是网络专业人士的得力助手。它强大的过滤功能,让你能够在复杂的网络环境中迅速定位问题,优化性能,确保数据传输的顺畅与安全。这不仅能够节省宝贵的时间,更能确保网络环境的稳定性和安全性。今天就来讲讲这些过滤方法,一起来体会Wireshark的高级过滤艺术。
Wireshark过滤规则使用方法
ClimberCoding
09-15 1万+
前言: 我看到的这篇文章是转载的,但我也不知道他是从哪转载的[/(ㄒoㄒ)/~~] 转自 Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-11 1511
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤过滤 HTTP 流量。
网络安全学习笔记(2)
qq_40316844的博客
08-23 1193
Wireshark使用 这篇文章在于使用Wireshark,同样下载和安装方面就不再赘述,具体的方法自行百度,总体安装较为成功,并未出现任何问题。打开Wirshark: 首先选择需要监听的网卡,可以选择自己现在正在上网的网卡,选择后开始抓包,接下来最重要的就是过滤:这里介绍了一些基础的使用方法 过滤源ip、目的ip 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为19...
WireShark使用方法及相应过滤规则
06-23 2971
From: http://blog.csdn.net/xmphoenix/article/details/6546022     http://www.seanyxie.com/wireshark%E5%8C%85%E8%BF%87%E6%BB%A4%E8%AF%AD%E6%B3%95/   Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提
Wireshark应用
00's Blog
01-03 2752
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
Wireshark常用过滤使用方法
文公子的博客
09-03 1893
Wireshark常用过滤使用方法 过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst192.168.101.8;查找源地址为ip.src1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在Filte
Wireshark过滤规则.docx
05-28
文档中提到的过滤规则Wireshark的核心功能之一,能够帮助用户快速筛选出感兴趣的数据包,提高分析效率。 1. **IP过滤**: - 使用`ip.src eq IP_ADDRESS`或`ip.dst eq IP_ADDRESS`可以过滤出源IP或目标IP为指定...
Wireshark过滤规则使用方法.pdf
04-22
### Wireshark过滤规则使用方法详解 #### 一、Wireshark简介与过滤规则的重要性 Wireshark是一款广泛使用的网络封包分析软件,能够实时捕捉网络封包,并且能够详细展示每一层的协议内容。它支持多种网络协议,如...
wireshark过滤
03-17
此外,通过查看过滤器表达式的帮助(`Help` > `Filter Expressions`),用户可以查找可用的协议字段和构建复杂的过滤规则。 对于源码和工具相关的知识点,Wireshark因其开源特性,允许开发者深入研究其内部工作原理...
Wireshark过滤语句的使用手册
11-27
你可以组合多个表达式,使用逻辑运算符"and"、"or"、"not"来构造复杂的过滤规则使用捕捉过滤器和显示过滤器时,还可以根据实际需要应用一些附加的选项,如排除广播请求的"nobroadcast",或者专门过滤ICMP数据包...
0 Wireshark抓包常用过滤规则.docx
10-27
### Wireshark抓包常用过滤规则详解 #### 一、Wireshark简介及过滤规则的重要性 Wireshark是一款广泛使用的网络封包分析软件,能够实时捕捉网络封包并进行详尽的检查与分析。在复杂的网络环境中,通过精确地设置...
WireShark_过滤语法
12-03
以下是一些关于Wireshark过滤语法的关键知识点: 1. **过滤IP**: - `ip.src eq 192.168.1.107` 或 `ip.dst eq 192.168.1.107`:这两个表达式分别用来过滤来源IP和目标IP为指定IP地址的数据包。`ip.addr eq 192....
Wireshark显示过滤规则实验
04-09
### Wireshark过滤规则 #### 显示过滤器 显示过滤器是Wireshark中用于筛选和显示特定数据包的强大功能。通过在抓取的数据包列表中应用过滤规则,用户可以快速定位到感兴趣的数据流,提高分析效率。这些规则基于...
wireshark捕获过滤器与显示过滤
05-21
- 这个复杂的过滤器示例展示了如何结合多种条件来精确过滤数据包,适用于需要高度定制化筛选规则的情况。 #### 显示过滤器详解 显示过滤器的语法更加灵活,支持多种逻辑表达式,如下表所示: | 逻辑表达式 | ...
干货,Wireshark使用技巧-过滤规则
协议分析与还原
12-08 1770
“介绍Wireshark抓包时使用过滤规则。”熟练使用Wireshark,对协议分析大有帮助。本文介绍抓取报文时使用过滤规则和对已有报文的显示进行控制的显示规则。01...
Wireshark 实用篇:Wireshark 抓包常用过滤命令
彪锅锅来啦
06-09 2万+
Wireshark 抓包常用过滤命令
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 3万+
WireShark 捕获过滤器的超全使用教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值