WireShark常用过滤规则

已于 2022-04-26 20:14:20 修改
阅读量7k 收藏 35
点赞数 4
分类专栏: 网络 文章标签: wireshark 抓包
于 2021-11-17 18:37:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25854057/article/details/121357883
版权
一、地址过滤
  • 对源地址及目的地址过滤
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
  • 对源地址或者目的地址过滤
ip.addr == 192.168.0.1
  • 排除某个地址数据包过滤
!(ip.addr == 192.168.0.1)
二、端口过滤
  • 对源端口及目的端口过滤
tcp.srcport == 80
tcp.dstport == 80
  • 对源地址或者目的端口过滤
tcp.port == 80
  • 大于某个端口的过滤
tcp.port >= 60000
三、协议过滤
  • 协议过滤
直接在filter框中输入协议名,如过滤HTTP协议,则http
四、http协议相关过滤
  • 过滤出请求地址中包含“user”的请求
http.request.uri contains User
  • 过滤域名
http.host == www.baidu.com
  • 模糊过滤域名
http.host contains baidu
  • 过滤请求的content_type类型
http.content_type == 'text/html'
  • 过滤http请求方法
http.request.method == GET
  • 过滤http响应状态码
http.response.code == 200
  • 过滤含有指定cookie的http数据包
http.cookie contains userid
五、长度和内容的过滤
  • 针对数据段长度过滤
udp.length < 20
http.content_length <= 30
六、错误报文过滤

此错误是wireshark根据计算为了分析展示的错误,实际报文不会有此信息

  • 过滤出显示 TCP Previous segment not captured 报文
tcp.analysis.lost_segment

原因:前一个分片丢失,有可能是网络中确实丢失了,或者晚到了,也有可能是wireshark本身并没有抓到。
  • 过滤出显示TCP Dup ACK 报文
tcp.analysis.duplicate_ack

原因:当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。
  • 过滤出显示 TCP Out-Of-Order 报文
tcp.analysis.out_of_order

原因:一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元
  • 过滤出 TCP ZeroWindows 的报文
tcp.window_size == 0 

原因:当发送端发包速率大于接收端的接收速率时,会造成接收端TCP window越来越小,当接收端在反馈ack时携带的window size=0时,wireshark标记TCP Zero window。此时发送端将暂停发送数据,直到收到接收端window size!=0的标志。
  • 过滤出 TCP Window Full 的报文
tcp.analysis.window_full

原因:是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送,等待新的接收窗口的通告。
小王格子
关注
  • 4
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
wireshark抓包使用与过滤方法
weixin_44610894的博客
07-30 1万+
1.选择PC上网卡 2.抓包成功 二、Wireshark常用过滤使用方法 1.过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 2.端口过滤。 如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤来。使用tcp.dstport==80只过...
wireshark 过滤设置
Fly_Sky
11-21 1445
(ip.src == 源IP地址 and port == 源端口号) or (ip.dst == 目标IP地址 and port == 目标端口号)4. **过滤特定源或目标IP地址的ICMP数据包:**3. **过滤源或目标端口为特定端口的数据包:**8. **过滤特定IP地址和端口的数据包:**6. **过滤特定协议和关键字的数据包:**5. **过滤特定协议和端口的数据包:**7. **过滤特定网络接口的数据包:**1. **过滤特定主机的数据包:**9. **过滤现错误的数据包:**
Wireshark有哪些常用过滤器?
最新发布
weixin_45778311的博客
05-27 724
Wireshark提供了强大的过滤功能,允许用户根据各种标准筛选和缩小捕获的数据包范围。
windows抓包工具Wireshark过滤
weixin_33832340的博客
12-11 2500
1、IP过滤 ip.src ==192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip ip.dst ==192.168.0.208(ip.dst eq 192.168.0.208) //目标等于某个ip 2、端口过滤 tcp.port eq 80 //不管端口是来源的还是目标的都显示 tcp.port == 80 udp.port eq 80 tc...
Wireshark抓包常用过滤方法
热门推荐
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
工具WireShark抓包筛选使用
思维小刀
05-25 3911
根据通讯协议进行筛选数据包,例如http协议、dns协议等等。
Wireshark过滤规则.docx
05-28
目前最好用的抓包工具,网络管理员最常用的网络管理工具。文档中总结了常用的一些wireshark过滤规则汇总。非常基础,但是也非常实用。
0 Wireshark抓包常用过滤规则.docx
10-27
Wireshark抓包常用过滤规则,便于抓包根据条件过滤,有语法举例。适用于爱好抓包分析的朋友。
Wireshark抓包工具使用教程以及常用抓包规则
03-06
三、过滤规则 1. 基本过滤器:在顶部的过滤器输入框中,可以输入简单的关键词或表达式,如"ip.addr == 192.168.1.1"来筛选特定IP地址的数据包。 2. 显示过滤器:显示过滤器可以实时过滤数据包列表,例如"tcp.port ...
Wireshark抓包工具使用教程以及常用抓包规则.zip
09-16
了解了基本操作后,我们来看看常用抓包规则。首先,确保你有权限访问并监听网络接口。其次,根据需要设置捕获过滤器以减少不必要的流量,提高分析效率。例如,如果你只关心特定主机间的通信,可以设置"host 192....
Wireshark详细使用指南
12-07
快捷方式提供了直观的图标按钮,便于快速执行常用操作,如开始/停止捕获,应用显示过滤器等。 3. **DISPLAY FILTER(显示过滤器)** 显示过滤器是在捕获完成后,根据特定条件筛选封包的关键工具。用户可以输入...
wireshark常用协议过滤
weixin_56306210的博客
07-12 1万+
wireshark常用协议过滤
wireshark过滤规则
qq_40298645的博客
06-21 5424
1. Wireshark过滤语句常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
WireShark 过滤语法使用
swanabin的专栏
08-09 2607
WireShark 过滤语法 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示
(2) wireshark一些特性
Hulk
02-22 1930
1. 相对seq切换实际seq Seq的初始值理论上是一个随机值,但是wireshark可以把它设置为从0开始的相对值: 在编辑-首选项-protocols-TCP 取消相对seq: 2. TCP确认号 TCP 发的确认号 = 上一个接收报文的seq + 上一个接收报文的len。 三次握手不套用这条公式(需要seq+1)。 但是,len == 0 并不代表没有意义,该Len并不包括tcp的头部信息,其实也表示有一个报文。 3. Tcp接收窗口 TCP接收窗口表示发送
wireshark常用过滤命令
weixin_34194317的博客
09-26 1233
  我们使用wireshark抓包,却不知道如何分析这些包,也无法从海量的包中提取自己需要的数据,下面简单介绍下wireshark过滤规则过滤源ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;   ...
wireshark过滤规则
YvesHe的专栏
08-15 4562
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。 一、针对wireshark常用的自然是针对IP地址过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src == 192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:ip.dst =
wireshark简单的过滤原则
m0_62207482的博客
02-25 260
过滤 80 端口:tcp.port==80,源端口:tcp.srcport==80,目的端口:tcp.dstport==80。过滤源 ip 地址:ip.src==1.1.1.1;,目的 ip 地址:ip.dst==1.1.1.1;过 滤 get/post 包 http.request.mothod=="GET/POST"
Wireshark中[TCP Window Full] 和 [Zero Window]帧的含义
时有限
05-14 1万+
TCP/IP协议为流控制协议,TCP窗口是其中一个重要的概念。在TCP接受和发送端都有缓存区,用户缓存数据,当缓存区满的时候就不能在向缓存区中写入数据了。发送缓存区满表现为send的返回值不再是指定的字节数,而小于该值的一个值;而接收缓存区满表现为对端发送收到影响。 [TCP Window Full] :服务端向客户端发送的一种窗口警告,表示已经发送到数据接收端的极限了。 [TCP Window Update]:缓冲区已释放为所示的大小,因此请恢复传输。 [Zero Window] :客户端向服务端发送的一

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值