wireshark 抓包分析---过滤规则大全

最新推荐文章于 2024-03-13 17:23:34 发布
最新推荐文章于 2024-03-13 17:23:34 发布
阅读量4.5k 收藏 22
点赞数 1
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21127151/article/details/90105211
版权
一、过滤HTTP报文
**http.host==6san.com
http.host contains 6san.com
//过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名
http.response.code==302
//过滤http响应状态码为302的数据包
http.response==1
//过滤所有的http响应包
http.request==1
//过滤所有的http请求,貌似也可以使用http.request
http.request.method==POST
//wireshark过滤所有请求方式为POST的http请求包,注意POST为大写
http.cookie contains guid
//过滤含有指定cookie的http数据包
http.request.uri==”/online/setpoint”
//过滤请求的uri,取值是域名后的部分
http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//过滤含域名的整个url则需要使用http.request.full_uri
http.server contains “nginx”
//过滤http头中server字段含有nginx字符的数据包
http.content_type == “text/html”
//过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包
http.content_encoding == “gzip”
//过滤content_encoding是gzip的http包
http.transfer_encoding == “chunked”
//根据transfer_encoding过滤
http.content_length == 279
http.content_length_header == “279”
//根据content_length的数值过滤
http.server
//过滤所有含有http头中含有server字段的数据包
http.request.version == “HTTP/1.1″
//过滤HTTP/1.1版本的http包,包括请求和响应
http.response.phrase == “OK”
//过滤http响应中的phrase**
二、过滤端口
tcp.port eq 80   //显示源端口和目的端口为80的报文都显示
tcp.port == 80
tcp.port == 80 or udp.port==443   
tcp.dstport==80 //只显示tcp协议的目标端口80
tcp.srcport==80 //只显示tcp协议的来源端口80
tcp.port >=1 and tcp.port <=80  //过滤端口范围
三、过滤协议

tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
四、过滤mac地址
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
五、比较操作符
lt less than:小于
gt 大于
ne:等于
六、报文长度过滤
udp.length ==100 // 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
 tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
七、and or匹配
and 符号 并
or  符号 或

tcp and tcp.port==80
tcp or udp
八、 匹配tcp参数
tcp.flags 显示包含TCP标志的封包。 
tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。 tcp.window_size == 0 && tcp.flags.reset != 1
九、过滤报文内容
tcp[20] 表示从20开始,取1个字符
tcp[20:]表示从20开始,取1个字符以上
tcp[20:8]表示从20开始,取8个字符
tcp[offset,n]

eth.addr[0:3]==00:06:5B

udp[8]==14        (14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包
udp[8:2]==14:05 可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。 (相当于 udp[8]==14 and udp[9]==05,1405是0x1405)
udp[8:3]==22:00:f7 但是不可以udp[8:3]==2200f7
udp[8:4]==00:04:00:2a,匹配payload的前4个字节0x0004002a
而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配
竹杖芒鞋轻胜马,谁怕?一蓑烟雨任平生。
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0 Wireshark抓包常用过滤规则.docx
10-27
Wireshark抓包常用过滤规则,便于抓包根据条件过滤,有语法举例。适用于爱好抓包分析的朋友。
wireshark过滤规则
flynetcn的专栏
01-28 1万+
  一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的过滤,即抓取源地址满足要求的。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的过滤,即抓取目的地址满足要求的。    表达式为:ip.dst ==192.168.0.1   (3)对源或者目的地址为192.168.0.1的过滤,即抓取满足源或者目的地址的ip地址是1...
Wireshark使用教程
最新发布
AXDRXS的博客
03-13 1451
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据数据列表:核心区域,每一行就是一个数据数据详情:数据的详细数据数据字节:数据对应的字节流,二进制。
wireshark过滤器的使用
qalx9的博客
08-27 487
抓包采用 wireshark,提取特征时,要对 session 进行过滤,找到关键的stream,这里总结了 wireshark 过滤的基本语法,供自己以后参考。这里过滤我们还可以进行更精细的过滤,比如过滤出你想要的源ip或者是目标ip或者端口,这些都是同理。我们直接翻到最后这个请求数据库的,那这个大概率就是黑客进行爆破成功的,会含有我们数据库的账号和密码。捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
Wireshark过滤规则筛选数据
qwe843033514的博客
02-23 5202
一、IP过滤括来源IP或者目标IP等于某个IP 比如:ip.src addr192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二、端口过滤: 比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据筛选 顶峰相见
wireshark常用协议过滤
weixin_56306210的博客
07-12 1万+
wireshark常用协议过滤
图解用Wireshark进行Http协议分析
热门推荐
bcbobo21cn的专栏
03-23 3万+
一 安装WireShark 安装完成后,运行,如果出现NPF未运行的提示,如下图;说明可能是装的时候WinPcap未装上;一般安装Wireshark会同时自动安装Winpcap; 如果装了Winpcap,在C:\Windows\System32\drivers下,会出现npf.sys;另外系统带有npfs.sys,不是一个东西; 如果是npf服务未运行,在命...
wireshark抓包分析HTTP协议,HTTP协议执行流程,
wangyuxiang946的博客
10-10 2万+
使用WireShark工具抓取HTTP协议的数据分析HTTP协议执行流程,分析HTTP请求响应报文中各个字段的作用。
Wireshark内容过滤方法
情义唯真,友谊方长存
02-23 2万+
关键字说明: “eq” 和 “==”表示等同,and” 表示并且,“or”和“||”表示或者。“!” 和 “not”表示取反。过滤方法: 一、针对IP地址的过滤。   (1)源地址    表达式为:ip.src == 192.168.0.1    ip.src == 10.230.0.0/16 显示来自10.230网段的封。   (2)目的地址
Wireshark-win32-2.4.13.rar
05-29
Wireshark-win32-2.4.13 主要用于各网络设备数据的抓包,通过抓取的数据进行学习和分析发现故障。比如:icmp协议、arp协议 、路由协议等。。。
Wireshark-win64-3.2.0.msi
01-15
过滤含两种类型,一种是抓包过滤器,就是抓取前设置过滤规则。另外一种是显示过滤器,就是在数据分析时进行过滤数据使用。通过过滤器可以筛选出想要分析的内容。括按照协议过滤、端口和主机名过滤、数据...
wireshark抓包新手使用教程
12-19
过滤含两种类型,一种是抓包过滤器,就是抓取前设置过滤规则。另外一种是显示过滤 器,就是在数据分析时进行过滤数据使用。通过过滤器可以筛选出想要分析的内容。括按照协议过滤、端口和主机名 过滤、数据...
Wireshark电脑抓包软件.rar
02-11
WPA/WPA2在内的诸多网络协议予以解密,抓包工具wireshark拥有标准三窗格数据浏览器、业内最强大的显示过滤器以及丰富的VoIP分析和其它网络分析功能,兼容数百种不断更新的网络协议,wireshark中文版具备强大的实时...
curl 发送 POST 请求的四种方式
任我行的博客
11-18 2万+
使用 curl 发送 POST 请求的四种方式: application/x-www-form-urlencoded 使用实例 $ curl localhost:3000/api/basic -X POST -d 'hello=world' multipart/form-data 这种请求一般涉及到文件上传。后端对这种类型请求的处理也复杂一些。 使用实例: $ curl localhost:3000/api/multipart -F [email protected] -F hello=world appli
阅读PDF护眼模式颜色设置
任我行的博客
08-15 1万+
在现在越来越多的电子书充斥着我们的工作与生活,默认模式情况下我们长时间的阅读使得眼睛易产生疲劳,对眼睛有害。其实我们可以开启PDF护眼模式,将阅读软件的背景颜色改为豆绿色,缓解眼睛疲劳。现在给出设置参数: 色调:85 饱和度:123 亮度:205 对应RGU值 R:199 G:237 U:204设置方法如下: 1.福昕阅读器: 文件-->偏好设置-->访问-->自定义文档颜色2.PDFXViewer
gdb调试 出现value optimized out解决方法
任我行的博客
06-12 1万+
现象: gdb调试 出现value optimized out解决方法 原因: 由于gcc在编译过程中默认使用-O2优化选项,希望进行单步跟踪调试时,应使用-O0选项。 解决办法: 使用-O0选项 附录(优化等级的说明): 这个选项控制所有的优化等级。使用优化选项会使编译过程耗费更多的时间,并且占用更多的内存,尤其是在提高优化等级的时候。 -O设置一共有五种:-O0、-O1、-O2、-O3和-Os。除了-O0以外,每一个-O设置都会多启用几个选项,请查阅gcc手册的优化选项章节: -O0:这个等级(字母“
印象笔记快捷键大全
任我行的博客
03-24 1万+
文章目录1、全局快捷键2、应用内快捷键3、笔记编辑快捷键4、笔记列表快捷键5、笔记侧栏快捷键 1、全局快捷键 全局快捷键表示你可以使用这些全系统快捷键 Ctrl + ALT +N:切换到印象笔记,并跳转至一条新笔记 Win +PrintScreen :开启捕捉屏幕 Esc:取消捕捉屏幕 Win + A :剪辑选取 Win + shift +F:在印象笔记中查找 Ctrl + Alt +V:将粘贴板...
wireshark-win64-3.4.0
07-22
### 回答1: wireshark-win64-3.4.0是一个开源的网络分析工具,主要用于对网络通信进行抓包分析。它支持Windows 64位操作系统,并且是最新版本的WiresharkWireshark能够捕获和分析网络数据,帮助用户深入了解网络通信的细节。它可以在各个层次上检测和解析协议,括以太网、IP、TCP、HTTP、DNS等。用户可以通过捕获数据分析网络流量、排查网络问题、检测网络安全漏洞等。 wireshark-win64-3.4.0提供了直观易用的图形界面,用户可以通过点击按钮启动捕获、停止捕获、保存捕获的数据。同时,它还提供了丰富的过滤和搜索功能,如按协议、IP地址、源目的端口等条件进行过滤。它还支持将捕获的数据导出为各种格式,如文本、PCAP、CSV等,便于用户进行进一步分析和存档。 除了基本功能外,wireshark-win64-3.4.0还支持插件扩展,用户可以通过安装第三方的插件来增强其功能。另外,它还有一个强大的统计功能,用户可以获取各种关于网络通信的统计信息,如吞吐量、延迟、响应时间等,从而深入分析网络性能。 总而言之,wireshark-win64-3.4.0是一款功能强大、易于使用的网络分析工具,它提供了全面而详细的网络数据捕获和分析功能,帮助用户深入了解网络通信,解决网络问题,提升网络性能。 ### 回答2: wireshark-win64-3.4.0是一款常用的网络协议分析工具。它可以捕获和分析网络数据,并提供详细的协议解析和统计信息。该软件支持多种操作系统,括Windows 64位系统。 wireshark-win64-3.4.0具有以下一些主要特点和功能: 1. 数据捕获:该软件可以在网络中对数据进行捕获和嗅探。它支持多种网络接口,如以太网、无线网络等。用户可以选择特定的接口进行数据捕获,并设置过滤规则以获取所需的数据。 2. 协议解析:wireshark可以自动解析捕获到的数据,并根据不同的协议进行分层展示。用户可以查看各个协议头部信息、数据字段和标志位等详细信息,从而深入了解网络通信过程。 3. 数据分析wireshark提供丰富的统计和过滤功能,可以对捕获到的数据进行深入分析。用户可以根据各种条件过滤数据,并生成统计图表和报告,帮助识别网络瓶颈、排查问题等。 4. 协议支持:wireshark支持众多的网络协议,括常见的TCP/IP协议、HTTP、FTP、DNS、SSL等。用户可以针对不同的协议进行具体的分析和调试。 5. 自定义插件:wireshark支持用户编写自定义插件,扩展软件的功能。用户可以根据自己的需求,开发新的协议解析器、过滤器等。 总之,wireshark-win64-3.4.0是一款功能强大、易于使用的网络协议分析工具。它通过捕获和分析数据,帮助用户深入了解网络通信,识别问题和优化网络性能。无论是网络管理人员、网络安全分析师还是普通用户,都可以从中受益。 ### 回答3: wireshark-win64-3.4.0是一个开源的网络协议分析软件,它可以用于实时的网络数据捕获和分析。它支持Windows 64位操作系统,并且是Wireshark软件在3.4版本中的一个特定的发布版本。 使用wireshark-win64-3.4.0,用户可以通过网络接口捕获网络数据,并对这些数据进行详细的分析和解码。它可以显示各种网络协议的详细信息,例如TCP、UDP、HTTP、DNS等,用户可以通过它来查看网络通信的细节,括源IP地址、目标IP地址、端口号、协议类型等。 此外,wireshark-win64-3.4.0还提供了一些高级功能,如过滤器和统计功能,用户可以根据自己的需求来设置过滤器,只显示感兴趣的数据。同时,它还可以生成各种统计信息,如流量统计、协议统计等,帮助用户更好地了解网络的情况。 wireshark-win64-3.4.0具有用户友好的界面设计,易于使用和操作。它还提供了一些其他功能,如导出捕获数据为PCAP文件、导入PCAP文件进行离线分析等。用户可以根据自己的需要进行自定义设置,以满足不同的分析需求。 总之,wireshark-win64-3.4.0是一个功能强大、易用性高的网络协议分析软件,可以帮助用户深入了解网络通信过程,发现和解决网络问题。无论是网络管理员、网络安全专家还是普通用户,都可以从中受益。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值