【wrieshark】过滤器

已于 2022-08-15 22:21:16 修改
阅读量969 收藏 1
点赞数
分类专栏: 玩转wrieshark 文章标签: 网络 wireshark
于 2022-08-15 22:20:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42565710/article/details/126355968
版权

文章目录

000:wireshark 过滤器概念:

wireshark 过滤器可以让你找出你所希望进行分析的数据包。

简单来说,一个过滤器就是定义了一定条件,用来包含或者排除数据包的表达式。

如果你不希望看到一些数据包,你可以写一个过滤器来屏蔽它们。

如果你希望只看到某些数据包,你可以写一个只显示这些数据包的过滤器。

001:wireshark 过滤器分类:

  • 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。
  • 显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。

002:捕获过滤器:

捕获过滤器应用于 Libpcap/WinPcap,并使用Berkeley Packet Filter(BPF)语法。

1:BPF简介

BPF 于 1992 年被设计出来,其设计目的主要是解决当时已存在的过滤机制效率低下的问题。BPF的工作步骤如下:当一个数据包到达网络接口时,数据链路层的驱动会把它向系统的协议栈传送。但如果 BPF 监听接口,驱动首先调用 BPF。BPF 首先进行过滤操作,然后把数据包存放在过滤器相关的缓冲区中,最后设备驱动再次获得控制。注意到BPF是先对数据包过滤再缓冲,避免了类似 sun 的 NIT 过滤机制先缓冲每个数据包直到用户读数据时再过滤所造成的效率问题。

BPF(Berkeley Packet Filter) 全称为伯克利包过滤,是一种功能非常强大的过滤语法。

BPF语法 被广泛用于多种数据包嗅探软件,主要因为大部分数据包嗅探软件都依赖于使用 BPF 的 Libpcap/WinPcap 库。诸如tcpdump,wireshark等等

掌握 BPF语法 对你在数据包层级更深入地探索网络来说,非常关键。

2:BPF语法

使用BPF语法创建的过滤器被称为表达式

并且每个表达式包含一个或多个原语

每个原语包含一个或多个限定词,然后跟着一个ID或者数字

BPF限定词:

限定词说明例子
Host(主机)该选项用来指定主机地址host, net, port
Direction (方向)该选项用来指定来源或目的地src, dst
Protocol (协议)该选项用来指定协议ether, ip, tcp, udp, http, ftp

表达式示例:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S5LgavPa-1660573118324)(https://staight.github.io/2018/07/25/BPF%E8%BF%87%E6%BB%A4%E8%A7%84%E5%88%99/%E8%BF%87%E6%BB%A4%E5%99%A8%E7%A4%BA%E4%BE%8B.png)]

该表达式的含义是只捕获目的地址为192.168.0.10以及端口为80的tcp流量

可以使用以下3种逻辑运算符,对原语进行组合,从而创建出更高级的表达式

  • &&:连接运算符 与
  • || :选择运算符 或
  • ! :否定运算符 非

3:主机名和地址过滤器

大多数过滤器都专注于一个特定的网络设备.这种情况下,可以根据设备的MAC地址,IPv4地址,IPv6地址或者DNS主机名配置过滤规则

host限定词用于捕获特定主机名或IP地址的流量:

host 192.168.10.1
host fe80::3c42:d5ff:fe22:1d63
host testserver

如果考虑到一台主机的IP地址会变化,可以加入ether限定词对MAC地址进行过滤:

ether host 3e:42:d5:22:1d:63

传输方向限定词可以用来捕获流入或流出某台主机的流量:

src host 192.168.10.1

当一个原语中没有指定一种类型限定符时,host限定词将作为默认选择:

src 192.168.10.1

4:端口和协议过滤器

不仅仅可以基于主机过滤,也可以基于端口进行过滤:

port 80

如果想要捕获非80端口的流量:

!port 80

端口限定符可以和传输方向限定符一起使用:

dst port 80

端口限定符也可以和某些基于端口之上的协议一起过滤:

tcp port 8080

另外一些协议并不能简单的使用端口定义:

icmp

!ip6

5:协议域过滤器

协议域过滤器是BPF语法的一个强大的功能,我们可以通过检查协议头的限定字节来创建基于某些数据的过滤器

代表目标不可达(类型3)信息的ICMP数据包:

icmp[0]==3 //icmp协议头的第一个字节是否等于3

代表echo请求(类型8)或echo回复(类型0)的ICMP数据包:

icmp[0]==8||icmp[0]==0

可以在偏移值的后面以冒号分隔加上一个数值,代表数据长度:

icmp[0:3]==0x030104

还有一种情况是一个字节中每一个比特位都是标志位,这样我们需要先引用相关的字节,再使用”位掩码”逐位地把我们需要检查的位分离出来:

tcp[13]&4==4

ip[0] & 0x0F > 0x05

003:显示过滤器

造轮子的呆呆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
wireshark过滤器
03-17
NULL 博文链接:https://eyesmore.iteye.com/blog/543452
Wireshark网络封包分析工具介绍+过滤器表达式语法
张维鹏的博客
10-28 7014
目录: 一、WireShark界面说明: 1、开始捕捉界面: 2、捕捉结果界面: 3、着色规则: 二、捕捉过滤器: 1、捕捉过滤器表达式: 2、捕捉过滤器语法: 三、显示过滤器: 1、基本过滤表达式: 2、复合过滤表达示: 3、常见用显示过滤需求及其对应表达式: WireShark安装,安装非常简单,处理安装路径自定义之外,其他都直接点下一步。 一、WireShark界面......
Wireshark (二) wireshark页面功能介绍和过滤器
最新发布
qq_42980749的博客
02-21 949
能够捕获和详细展示网络上流经的数据包,提供了包括实时数据捕获、广泛的协议解析支持、数据流重组等强大功能。用户可以通过Wireshark观察网络的实时运行状态,使用其强大的过滤器精确筛选感兴趣的数据包,进而分析网络问题或学习网络协议的工作机制。菜单栏:提供了文件操作、编辑、视图设置、捕获配置、分析工具和帮助等多个菜单选项。文件:打开、保存捕获文件,导出数据等。编辑:查找数据包,复制字段值等。视图:自定义Wireshark界面,如显示或隐藏某些窗格。跳转:快速导航到特定数据包。捕获。
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 5214
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包
zz2230633069的博客
02-10 3073
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包。
Wireshark教程:显示过滤器表达式
nuan444979的博客
09-22 4884
Wireshark显示过滤器表达式
Wireshark过滤
GY_1202的博客
06-10 3836
wireshark两种数据过滤方式:捕获过滤器、显示过滤器
Wireshark 过滤器使用
LLinslemon的博客
08-16 8887
Wireshark 使用手册
Wireshark——过滤器设置
qq_45951891的博客
11-04 4565
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤器的使用
yshuqian1的博客
07-06 782
wireshar是一种常用的网络抓包工具,安全分析人员可以根据其抓获的流量包进行流量分析,进而分析出系统可能面临的流量威胁,对进一步的安全防护具有重要作用。如下图。
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 2万+
WireShark 捕获过滤器的超全使用教程
wrieshark提取握手包教程
09-04
教你如何用Wireshar提取握手包,配合路由器上网密码破解工具,得到未知无线网密码
wrieshark 安装包.rar
12-05
wrieshark 安装包,用于查询设备的IP地址和网络抓包工具,简单使用数据包的过滤数据流追踪专家信息说明数据包的统计分析导出对象
wrieshark.zip
03-12
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量...
计算机网络自顶向下第七版实验材料英文版
09-30
此资源为计算机网络自顶向下书籍每章的课后实验讲义,对于学习计算机网络的各层原理和协议有很大帮助,希望对你有用!
Wireshark使用(捕获过滤器、显示过滤器、TCP交互抓包示例、抓取本地回环数据包等)
ALISONLAU2的博客
08-11 3557
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Wireshark——过滤器使用
huashuolin001的博客
09-23 2万+
使用wireshark提供的过滤功能,可方便查看、分析自己想要的数据。wireshark的过滤器,分为捕获过滤器和显示过滤器。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。 显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。 下面分别介绍两种过滤器的使用。 一.捕获过滤器 捕获过滤...
Wireshark 跟踪TCP流
hbspring007的专栏
06-05 6569
打开捕获文件;在一个协议为TCP的包上右击,选择 追踪流-TCP;将进入TCP流追踪;   选择该菜单后,主面板上包列表里,仅列出本次TCP会话的包; 同时会在一个单独的窗口中显示TCP流; 看一下基本是乱码;大体能看出,是http1.1协议;是本机和百度的一个网址通信的情况; 红色是源到目的地;蓝色反之; 先看一下;需要详细解析的时候再说吧;   看一下本次会话最后一个包; eclick.e.shifen.com https(443) [ACK]
wireshark抓包红色_Wireshark网络抓包(二)——过滤器
weixin_39637723的博客
12-20 789
一、捕获过滤器选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。1)捕获单个IP地址2)捕获IP地址范围3)捕获广播或多播地址4)捕获MAC地址5)捕获所有端口号6)捕获特定ICMP数据当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置。偏移量0表示ICMP字段类型,偏移量1表示ICMP位置代码...
基于Wrieshark设计实验抓取ospf的数据包并分析
05-22
3. 在过滤器中输入“ospf”,只显示OSPF数据包。 4. 开始抓取数据包,等待一段时间以收集足够的数据包。 5. 停止抓取数据包,保存数据包文件。 分析OSPF协议数据包的过程如下: 1. 打开保存的数据包文件。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值