Wireshark常用过滤使用方法

最新推荐文章于 2024-03-29 23:38:11 发布
最新推荐文章于 2024-03-29 23:38:11 发布
阅读量5.9k 收藏 6
点赞数 2
分类专栏: other 文章标签: wireshark 服务器 网络
原文链接:https://www.cnblogs.com/nmap/p/6291683.html
版权

过滤源ip、目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1

端口过滤。

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

http模式过滤。

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

连接符and的使用。

过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。

工作中,一些使用方式

调整时间格式

 然后再排序下。根据时间字段 

 根据端口过滤

服务端端口是7018,和客户端建立socket连接,根据服务端的端口找到2者通信的所有socket数据(客户端进入房间后会异常断开,判断是客户端导致的还是服务端导致的)

tcp.port==7018,最后的RST报文是服务端发起的,说明是服务端主动断开的,缩小问题范围

仅从抓包信息看是服务器的一个流量控制机制启动了。服务器发回rst位,同时win置为0,是告诉客户端不要发包。按tcp流控机制来说,此时客户端应该停止发包,直至服务器发送信息告诉客户端可以继续发送。

TCP连接:SYN ACK RST UTG PSH FIN
三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;
接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;
最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。

*SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。
在这里,可以把 TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。
在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。


*ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。

*RST:复位标志
复位标志有效。用于复位相应的TCP连接。

*URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,

*PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时,该标志总是置位的。

*FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。

TCP的几个状态对于我们分析所起的作用。在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有 DATA数据传输,RST表示连接重置。
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。
TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;
而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。
PSH为1的情况,一般只出现在DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。

ebg_coder
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark 数据包分析实战详解
06-24
基本信息 作者: 王晓卉 李亚伟 出版社:清华大学出版社 ISBN:9787302388715 上架时间:2015-3-16 出版日期:2015 年3月 开本:16开 页码:404 版次:1-1 所属分类:计算机 > 计算机网络 > 综合 编辑推荐   通过80个实例,详细讲解了Wireshark数据包分析实施的8大类技巧 基于Wireshark抓取的数据包,层层剥茧地剖析了12种常见网络协议的构成 内容简介 书籍 计算机书籍 《Wireshark数据包分析实战详解》由浅入深,全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例,供读者实战演练Wireshark的各项功能。同时,对抓取的数据包按照协议层次,逐层讲解各个协议在数据包中的体现。这样,读者就可以掌握数据包抓取到信息获取的每个环节。 《Wireshark数据包分析实战详解》共分3篇。第1篇介绍Wireshark的各项功能,包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等;第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析,如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等;第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。 《Wireshark数据包分析实战详解》涉及面广,内容包括工具使用网络协议和应用。本书适合各类读者群体,如想全面学习Wireshark的初学者、网络管理员、渗透测试人员及网络安全专家等。对于网络数据分析人士,本书更是一本不可多得的案头必备参考书。
Wireshark 数据包分析实战详解 PDF版
07-10
本书共分3篇。第1篇介绍Wireshark的各项功能,包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等;第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析,如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等;第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。
Wireshark过滤基础语法简析
最新发布
杜衡老师的自留地
03-29 412
Wireshark是一款强大的网络分析工具,它可以捕获和显示网络上的数据包,并提供多种过滤功能。本文是Wireshark教程的第一节,介绍两种过滤语法的基本写法。
wireshark筛选.pdf
07-10
文件中为几种常用过滤指令,很实用,网络中抓码的话会有很多我们不要的码,用这个就很方便了!!!
计算机网络课程设计方案实验报告.doc
05-25
计算机网络课程设计 实验报告 "实验内容和要求 " " " "1、实验一 数据包的捕获与分析 " "Wireshark是一种开源的网络数据包的捕获和分析软件,本实验通过Wires" "hark软件的安装使用,监控局域网的状态,捕获在局域网中传输的数据包" ",并结合在计算机网络课程中学习到的理论知识,对常用网络协议的数据" "包做出分析,加深网络课程知识的理解和掌握。具体内容及要求如下: " "Wireshark软件的安装; " "Wireshark软件的启动,并设置网卡的状态为混杂状态,使得Wireshark可" "以监控局域网的状态; " "启动数据包的捕获,跟踪PC之间的报文,并存入文件以备重新查; " "设置过滤过滤网络报文以检测特定数据流; " "对常用协议的数据包的报文格式进行分析,利用协议分析软件的统计工具" "显示网络报文的各种统计信息。 " " " " " " " "2、实验二 网络层实验—Ping程序的设计与实现 " "实验目的 " "本实验目的是使学生掌握网络层协议的原理及实现方法。 " "实验设计内容 " "本实验为ICMP实验。实验内容:Ping命令实现的扩充,在给定的Ping程序" "的基础上做如下功能扩充: " "-h 显示帮助信息 " "-b 允许ping一个广播地址,只用于IPv4 " "-t 设置ttl值,只用于IPv4 " "-q 安静模式。不显示每个收到的包的分析结果,只在结束时,显示汇总 " "结果 " " " "Ping命令的基本描述 " "Ping的操作是向某些IP地址发送一个ICMP Echo消息,接着该节点返回一 " "个ICMP Echo replay消息。ICMP消息使用IP头作为基本控制。 " " " " " " " " " " " " " " " " " " " " " "二、实验环境 " " " "实验一 数据包的捕获与分析 " "1.联网计算机 " "2.Windows 或linux 系统 " "3.在PC中安装协议分析软件(如:Wireshark) " "4.物理基础: " "IEEE802.3 标准的以太网采用的是持续 CSMA " "的方式,正是由于以太网采用这种广播信道争用的方式,使得各个站点可" "以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我" "们所要的信 " "5.工作模式: " "1) 广播模式(Broad Cast Model):它的物理地址(MAC)地址是 " "0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧。 " "2) 多播传送(MultiCast Model):多播传送地址作为目的物理地址的 " "帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如果" "将网卡设置为 多播传送模式,它可以接收所有的多播传送帧,而不论它 " "是不是组内成员。 " "3) 直接模式(Direct " "Model):工作在直接模式下的网卡只接收目地址是自己 MAC地址的帧。 " "4) 混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所 " "有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。 " " " " " " " "实验二 网络层实验—Ping程序的设计与实现 " "联网计算机 " "Linux系统 " "系统自带编译环境 " " " " " " " " " " " "程序的需求分析与逻辑框图 " "需求分析 " " " "1、实验一 " "数据包的捕获与分析 " " " "1>.在PC中安装协议分析软件。 " "2>.启动Wireshark协议分析软件,选择抓包菜单项启动实时监视器,开始" "实时跟踪显示网络数据报文。可根据系统提示修改显示方式。 " "3>.调出跟踪存储的历史报文,选择有代表性的ETHERNET,IEEE802.3,IP" ",ICMP,TCP,UDP报文,对照有关协议逐个分析报文各字段的含义及内容" "。 " "4>.设置过滤器属性,如目的地址,源地址,协议类型等。如过滤不需要 " "的网络报文,过滤器允许设置第二层,第三层或第四层的协议字段。 " " " " " " " " " "2、实验二 " "网络层实验—Ping程序的设计与实现 " " " "PING程序是我们使用的比较多的用于测试网络连通性的程序。PING程序给" "予ICMP使用ICMP的回送请求和回送应答来工作。ICMP是基于IP的一个协议" ",ICMP包通过IP的封装之后传递。实现检测网络通畅及速度的ping,并扩" "展以下功能: " "-h 显示帮助信息 " "-b 允许ping一个广播地址,只用于IPv4 " "-t 设置ttl值,只用于IPv4 " "-q 安静模式,不显示
Wireshark图解教程(简介、抓包、过滤器)
12-04
Wireshark图解教程(简介、抓包、过滤器) 文件共14页,包括Wireshark的一些常用的操作和分析方法
Wireshark 基础 | 捕获过滤
7ACE的博客
10-13 4166
Wireshark 基础系列 | 捕获过滤
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 1万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark——过滤器设置
qq_45951891的博客
11-04 4339
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤
ZENITH
08-01 895
说起Wireshark就不得不提Ethereal了,Ethereal和在 Windows系统中常用的sniffer pro并称网络嗅探工具双雄,不过和sniffer pro不同的是Ethereal在Linux类系统中应用更为广泛。而Wireshark软件则是Ethereal的后续版本,他是在Ethereal被 收购后推出的最新网络嗅探软件,在功能上比前身更加强大。使用Wireshark时最常见
Wireshark过滤规则.docx
05-28
目前最好用的抓包工具,网络管理员最常用网络管理工具。文档中总结了常用的一些wireshark过滤规则汇总。非常基础,但是也非常实用。
0 Wireshark抓包常用过滤规则.docx
10-27
Wireshark抓包常用过滤规则,便于抓包根据条件过滤,有语法举例。适用于爱好抓包分析的朋友。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
wireshark过滤器基本语法分析
tecoes的博客
04-13 1601
Wireshark抓包过滤器语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
wireshark基本用法及过滤规则
ZH_zh_123的博客
11-24 1679
------------------------------------不理解End---------------------------------------------------------------------------------------http.request.uri matches “.gif$” 匹配过滤HTTP的请求URI中含有”.gif”字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符). 除换行符\n外的任意字符。
wireshark-filter
贾世鑫的博客
10-27 755
NAME wireshark-filter - Wireshark display filter syntax and reference SYNOPSIS wireshark [other options] [ -Y "display filter expression" | b<--display-filter "display filter expression" ]> tshark [other options] [ -Y "display filter expression"
Wireshark 实用篇:Wireshark 抓包常用过滤命令
彪锅锅来啦
06-09 1万+
Wireshark 抓包常用过滤命令
Wireshark 过滤器的语法
迷逝
11-24 4589
wireshark过滤器分为两种 捕获过滤器 抓包之前使用过滤器,它的作用是我只抓我想要的包,不需要的不抓。 优点:可以减小网卡负载,垃圾包少 捕获过滤器语法: <Protocol> <Direction> <Host(s)> <Value> < Logical Operations> <Other expression> Protocol(协议): ether,fddi, ip,arp,rarp,decnet,lat, s
wireshark过滤器搜索常用指令
06-02
Wireshark过滤器可以使用多种指令进行搜索和过滤。以下是一些常用Wireshark过滤器指令: 1. host:用于搜索指定IP地址的数据包。例如:host 192.168.1.100。 2. port:用于搜索指定端口的数据包。例如:port 80。 3. tcp:用于搜索TCP协议的数据包。例如:tcp.port == 80。 4. udp:用于搜索UDP协议的数据包。例如:udp.port == 53。 5. ip:用于搜索指定IP地址或IP地址段的数据包。例如:ip.addr == 192.168.1.0/24。 6. eth:用于搜索指定MAC地址的数据包。例如:eth.addr == 00:11:22:33:44:55。 7. http:用于搜索HTTP协议的数据包。例如:http.request.method == "GET"。 8. dns:用于搜索DNS协议的数据包。例如:dns.qry.name contains "google.com"。 9. icmp:用于搜索ICMP协议的数据包。例如:icmp.type == 8。 10. ssl:用于搜索SSL协议的数据包。例如:ssl.handshake.type == 1。 这些指令只是Wireshark过滤器中的一小部分,还有许多其他指令可供使用。你可以在Wireshark的文档中找到更详细的过滤器指令信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值