wireshark筛选条件整理

已于 2025-04-11 14:00:58 修改
阅读量1.3k 收藏 10
点赞数 6
文章标签: wireshark 测试工具 网络
于 2024-10-25 15:27:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44637753/article/details/128189430
版权

Wireshark筛选条件整理


and && 、 or || 、! |

一、MAC地址过滤

src 源地址 dst 目的地址

eth:addr == 01:00:5e:0d:36:2a  
eth.src == 01:00:5e:0d:36:2a
eth.dst == 01:00:5e:0d:36:2a
eth.dst.ig == 0 单播  1 组播

二、IP地址过滤

ip.addr== 192.168.174.11             
ip.src== 192.168.174.11           ##ip.src_host
ip.dst== 192.168.174.11   
ipv6.addr ==

三、端口过滤

tcp.port == 80
tcp.dstport == 80
tcp.srcport == 80
udp.port == 4010
udp.srcport == 4010
udp.dstport == 4010

四、协议筛选

tcp、udp、arp、icmp、smtp、pop、dns、ssl、http、ftp、telnet、ip、ssh、rdp、rip、ospf

http contains "flag"
udp.stream eq 0

五、数据内容过滤

##查询提交内容
http.request.method=="POST"
http.request.method=="POST"   && http contains "password"

##查询当前获取权限
http contains "whoami"

##查询一句话木马
http contains "eval("

六、数据分析

1、整体

在这里插入图片描述

2、frame数据帧分析

在这里插入图片描述

3、 Ethernet II 以太网

在这里插入图片描述

4、IP协议

在这里插入图片描述

5、TCP

在这里插入图片描述

6、HTTP

请求协议类型
请求资源信息
头部信息

在这里插入图片描述

7、ARP

在这里插入图片描述

8、DLEP动态链接交换协议

在这里插入图片描述

七、统计-协议分级(统计包占比)

查看什么类型的攻击

在这里插入图片描述

分析,追踪流,http请求

在这里插入图片描述

流量分析

从客户端到服务器的流量为红色
从服务器到客户端的流量为蓝色

JWT 由三部分构成,各部分以 . 分隔,格式为 Header.Payload.Signature。
token格式: xxxx.yyyy.zzzz  header.payload.signature

token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc

在这里插入图片描述

统计–》会话 --》查看高频访问数据

I/O图表 右键捕获会话时间起源
在这里插入图片描述

文件导出,http请求文件(查看提交内容文档)

在这里插入图片描述

统计–专家信息查看异常信息

在这里插入图片描述

史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
wireshark过滤器语法-针对地址,针对会话,针对数据流以及数据筛选
刘贝斯老师的博客
03-25 2065
在上一篇中,我整理wireshark针对协议进行过滤,这一边我们来整理针对地址进行过滤。 下面例子中表达式的应用,也可以去上一篇文章中去找 显示单个IP地址 ip.src192.168.1.1 过滤源地址 ip.dst192.168.1.1 过滤目的地址 ip.addr==192.168.1.1 过滤源和目地地址 显示IP地址范围 ip.addr > 192.168.1.1 过滤大于指定I...
wireshark表达式
delbboy的专栏
05-04 3177
一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。            表达式为:ip.src == 192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。            表达式为:ip.dst == 192.168.0
这些Wireshark过滤条件,让你的Wireshark网络分析变得更加高效
程序员野蛮成长
08-12 973
Wireshark 是一款开源网络数据包分析工具,可以用于捕获、分析和调试网络数据包。在使用 Wireshark 进行数据包分析时,常常需要使用过滤条件来过滤数据包,以便查找特定的数据包或者分析网络性能。
Wireshark常用过滤器筛选方法
2403_89476409的博客
04-02 2301
Wireshark常用过滤器筛选方法的个人总结。
WireShark 过滤语法
grmsu的专栏
07-29 4030
WireShark 过滤语法1. 过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP2. 过滤
wireshark过滤条件
一起coding,一起嗨。
08-15 1945
你可以在Wireshark的过滤器界面中输入这些过滤条件并实时查看过滤后的结果。此外,Wireshark还提供了一些高级过滤条件,如按照数据包长度、数据包标记等进行过滤。你可以参考Wireshark的文档或官方网站获取更多详细的过滤条件和使用方法。Wireshark支持各种过滤条件,可以根据协议、IP地址、端口和其他特定的网络参数进行过滤。当你使用Wireshark进行网络数据包分析时,可以使用过滤条件筛选出你感兴趣的数据包进行观察和分析。
Wireshark傻瓜式安装,Wireshark使用过滤条件
qq_41694461的博客
02-28 2298
特别说明: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&与、|| 或、!
Wireshark过滤
GY_1202的博客
06-10 7949
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
网络协议分析工具(Wireshark
weixin_43156294的博客
10-24 1616
Wireshark是开源的网络协议分析工具,可用于捕获和分析网络数据包,帮助用户了解网络通信的情况,排查网络故障和安全问题。Wireshark最初由Gerald Combs在1997年底开始研发,最初名为Ethereal。在1998年7月释出其第一个版本v0.2.0,之后不断发展并吸引了众多开发者参与。由于商标问题,在2006年5月更名为Wireshark。2008年发布了1.0版本,2015年发布了2.0版本并更新了用户界面,其功能不断完善和增强。
网络世界的“显微镜”:Wireshark探秘
最新发布
大雨淅淅的博客
04-29 652
Wireshark 是一款开源的网络封包分析软件,它能够捕获网络数据包,并详细地展示其中的内容 ,就像是网络世界的 “翻译官”,把那些二进制的网络数据转换成我们人类能够理解的信息。无论是网络管理员排查故障,还是安全专家检测网络攻击,亦或是开发者调试网络应用,Wireshark 都能提供强大的支持。它的诞生源于 1997 年,当时密苏里大学堪萨斯城分校的毕业生 Gerald Combs 需要一个工具来追踪网络问题,于是他开始着手开发 Ethereal,这便是 Wireshark 的前身。
wireshark 使用教程 —— 基础入门、进阶、实战
u013669912的博客
07-15 2190
wireshake 总结
wnjok的专栏
11-07 445
  wireshark过滤基本命令  一、IP过滤: ip.addr==192.168.22.143 ip.src==192.168.22.143 ip.dst==192.168.22.124   二、端口过滤: tcp.port==514 or udp.port == 514 tcp.port >= 1 and tcp.port <= 80   三、协议过滤: ...
wireshark常用筛选命令
victorwjw的博客
01-12 4765
wireshark常用筛选命令
wireshark过滤条件简要记录
zero的运营与运维
11-10 559
表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1。最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。(1)针对长度的过虑(这里的长度指定的是数据段的长度)
Wireshark 过滤条件例子
rocklee的专栏
06-01 2012
如果要对两台电脑之间指定udp的商品抓包, 可以这样写: (ip.dst == 128.30.4.202 || ip.src == 128.30.4.202) && udp && (udp.port == 18882 || udp.dstport ==18882 || udp.port == 18883 || udp.dstport ==18883)  表达式的and关系用 &&, or 关系
Wireshark过滤规则
陪我养猪吧的博客
08-14 2261
查看dhcp包,并且只想看某台电脑的dhcp包。查看除了arp以外的其他包。查看dhcp或者arp包。
wireshark 过滤条件
weixin_34249678的博客
02-10 146
2019独角兽企业重金招聘Python工程师标准>>> ...
wireshark查看TLS
04-03
<think>好的,我需要帮助用户解决如何使用Wireshark捕获和解密TLS流量的问题。根据用户提供的引用资料,主要有两种方法:使用TLS密钥日志文件和在Wireshark中直接配置会话密钥。我需要详细解释这两种方法的步骤,并确保符合用户的格式要求,比如行内公式用$...$,独立公式单独成段,使用中文回答,生成相关问题等。 首先,我需要整理方法一:使用TLS密钥日志文件。根据引用[2],Firefox和Chrome支持将会话密钥保存到文件,然后在Wireshark中配置这个文件路径。步骤包括设置环境变量,比如SSLKEYLOGFILE,然后启动浏览器,这样密钥会被记录。接着在Wireshark的TLS设置中添加密钥文件路径。这部分需要详细说明每一步的操作,确保用户能跟随。 然后是方法二:使用会话密钥直接配置。引用[1]提到在Wireshark的协议设置中找到TLS选项,添加服务器的IP、端口和密钥。这可能适用于已知密钥的情况,比如从服务器端获取的密钥。需要说明如何进入协议设置,找到TLS选项,并填写必要的信息。 接下来是捕获流量的步骤,这部分用户可能已经知道,但需要简要提及,比如选择正确的网卡,设置过滤条件为tls。然后重新加载捕获的流量,Wireshark会自动解密,如引用[1]所述。 另外,引用[3]提到Wireshark的TLS设置功能,可能需要解释其他相关选项,比如重组分片数据等,但用户的主要需求是解密,所以这部分可以简要带过,或者作为注意事项提及。 需要确保回答结构清晰,分步骤说明,每个步骤用列表展示。同时,按照用户要求,生成相关问题,比如TLS解密原理、常见问题、其他协议解密方法等。这些问题需要与主题相关,帮助用户进一步学习。 还要注意行内公式的正确使用,比如如果有数学表达式的话,但在这个问题中可能用不到。但如果有涉及变量或参数的地方,比如设置端口号时,可能需要用行内公式,但根据引用资料来看,这里可能不需要。因此,主要关注正确使用格式和引用标识。 最后,检查引用标识是否正确添加,每个引用末尾自然地加上[^1]、[^2]、[^3]。确保没有使用Markdown格式,用自然的中文回答,分步骤说明,代码块用正确的格式包裹,比如示例中的Python代码用三个反引号包裹。 现在,将这些思考整理成符合用户要求的回答,分步骤说明两种方法,注意事项,以及相关问题。</think>### 使用Wireshark捕获和解密TLS流量的步骤 #### 方法一:通过TLS密钥日志文件解密(推荐) 1. **生成密钥日志文件** 在操作系统中设置环境变量`SSLKEYLOGFILE`,指定密钥保存路径。例如: ```bash export SSLKEYLOGFILE=/path/to/sslkey.log # Linux/macOS set SSLKEYLOGFILE=C:\path\to\sslkey.log # Windows ``` 启动浏览器(Firefox或Chrome),所有TLS会话的对称密钥会自动记录到该文件。 2. **配置Wireshark** - 打开Wireshark,进入 `编辑 → 首选项 → Protocols → TLS`。 - 在`(Pre)-Master-Secret log filename`字段填入密钥日志文件的路径。 3. **捕获流量** - 选择正确的网络接口,开始捕获流量。 - 使用过滤条件`tls`筛选TLS协议流量。 4. **自动解密** 重新加载捕获的流量文件,Wireshark会自动用密钥文件解密TLS流量,明文数据将直接显示。 --- #### 方法二:直接配置会话密钥(需已知密钥) 1. **获取会话密钥** 从服务器或客户端获取TLS会话的预主密钥(Pre-Master Secret)或主密钥(Master Secret)。 2. **Wireshark配置** - 进入 `编辑 → 首选项 → Protocols → TLS`。 - 点击`密钥列表`,添加新条目: - `IP地址`:服务器的IP(若不确定可留空) - `端口`:TLS服务端口(如HTTPS的443) - `密钥文件`:选择包含密钥的文件或直接输入密钥。 3. **捕获与分析** 配置完成后,捕获的TLS流量将自动解密,可直接查看HTTP等上层协议内容。 --- #### 注意事项 1. **密钥安全性**:密钥日志文件包含敏感信息,需妥善保管。 2. **协议支持**:仅适用于RSA密钥交换算法,ECDHE等前向保密算法无法通过此方法解密。 3. **流量过滤**:建议使用`tls.handshake.type == 1`过滤TLS握手过程,便于调试。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@王先生1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值