wireshark、tcpdump 实用过滤表达式(针对ip、协议、端口、长度和内容)

首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。


  一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:

  (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。

           表达式为:ip.src == 192.168.0.1

  (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。

           表达式为:ip.dst == 192.168.0.1

  (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。

           表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

  (4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。

           表达式为:!(表达式)

  二、针对协议的过滤

  (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。

                表达式为:http

  (2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。

           表达式为:http or telnet (多种协议加上逻辑符号的组合即可)

  (3)排除某种协议的数据包

           表达式为:not arp      !tcp

  三、针对端口的过滤(视协议而定)

  (1)捕获某一端口的数据包

           表达式为:tcp.port == 80

  (2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式

           表达式为:udp.port >= 2048

  四、针对长度和内容的过滤

  (1)针对长度的过虑(这里的长度指定的是数据段的长度)

           表达式为:udp.length < 30   http.content_length <=20

  (2)针对数据包内容的过滤

      表达式为:http.request.uri matches "vipscu"  (匹配http请求中含有vipscu字段的请求信息)

  

  通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。以下是比较复杂的实例(来自wireshark图解教程):

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8


显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
--------------------------------------------------------------------------我是分割线------------------------------------------------------
 

tcpdump主要选项

类型

host, net, port

方向

src, dst, src or   dst, src and dst

协议

ip, tcp, udp,   arp, rarp, ether, fddi

逻辑

and, or, not 或者 &&, ||, !

选项

-i指定网卡, -n显示ip, -A文本显示

-c抓包数, -x/-xx/-X/-XX二进制显示, -r读, -w写

类型

host指定主机或目的地址。

net制定网络地址。net可以用来指定子网。

port指定监听端口。

如果要制定多种类型,用逻辑运算符号连接。

tcpdump net 192.168.1。监听子网192.168.1.0

tcpdump net 192.168.1.0/24

tcpdump host 192.168.1.124 and port 80。监听指定主机的80端口。

方向

src指定源地址,dst指定目的地址。

监听来自192.168.1.10 或 192.168.1.11的80端口:

tcpdump port 80 and /(src 192.168.1.10 or src 192.168.1.11/)

协议

用来捕获特定协议的数据包有:ether(ethernet), tcp, udp, icmp, ip, ip6(ipv6), arp, rarp(reverse arp)等。

逻辑

tcpdump port 80 and /(host 192.168.1.10 or host 192.168.1.11/)。监听主机192.168.1.10 或 192.168.1.11的80端口。

使用()一定要用/转义。

获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包:

tcpdump ip host 210.27.48.1 and ! 210.27.48.2

选项

-i:指定网卡。

-n:显示ip,而不是主机名。

-c:指定抓多少个包后退出。

-A:以ASCII方式显示包内容,这个选项对文本格式的协议包非常有用。

-s:指定抓包显示一行的宽度,-s0表示显示完整的包,经常和-A一起用。

-x/-xx/-X/-XX:以十六进制显示包内容,几个选项只有细微的差别,详见man手册。

-vv:详细信息。

-r:从文件中读取。

-w:导出到指定文件。

监听来自172.25.38.145到端口7012的数据,并到处到指定文件:

tcpdump tcp dst port 7012 and src host 172.25.38.145 -vv –w output.dat

从指定文件加载监听数据:

tcpdump -r output.dat

监听网卡eth1端口7012的数据:

tcpdump tcp port 7012 -ieth1 –n


 

tcpdump选项

选项     含义

-A      以ASCII格式打印出所有分组,并将链路层的头最小化

-d      将匹配信息包的代码以人们能够理解的汇编格式给出

-D     打印出系统中所有可以用tcpdump截包的网络接口

-ddd  将匹配信息包的代码以十进制的形式输出

-e      在输出行打印出数据链路层的头部信息

-f       将外部的Internet地址以数字的形式打印出来

-l       使标准输出变为缓冲行形式

-L      列出网络接口的已知数据链路

-n     不把网络地址转换成名字

-N    不输出主机名中的域名部分,如“kongove.ubuntu.cn”只输出“kongove”

-O    不运行分组分组匹配(packet-matching)代码优化程序

-p     不将网络接口设置成混杂模式

-q     快速输出,只输出较少的协议信息

-S     将tcp的序列号以绝对值形式输出,而不是相对值

-t     在输出的每一行不打印时间戳

-u     输出未解码的NFS句柄

-v     输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息

-vv     输出详细的报文信息

-c count          指定监听数据包数量,当收到指定的包的数目后,tcpdump就会停止

-C file_size     限定数据包写入文件大小

-F file              从指定的文件中读取表达式,忽略其它的表达式

-i interface      指定监听网络接口

-m module      打开指定的SMI MIB组件

-M secret        如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详见RFC 2385)

-r file               从指定的文件中读取包(这些包一般通过-w选项产生)

-s snaplen      从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节

-T type           将截取的数据包直接解释为指定类型的报文,常见类型有rpc(远程过程调用)和snmp(简单网络管理协议),还包括aodv、cnfp、rpc、rtp、rtcp、snmp、tftp、vat、wb等

-w file             指定将监听到的数据包写入文件,不分析和打印数据包

-W filecount   限定能写入文件数据包的数量

-E spi@ipaddr algo:secret,...     用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值