wireshark常见使用表达式

于 2024-06-19 22:50:41 发布
阅读量971 收藏 28
点赞数 20
分类专栏: 工具使用 文章标签: wireshark 网络 抓包 协议 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/139814878
版权

目录

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:
    tcp
  • 捕获特定 IP 地址的数据包:
    host 192.168.1.1
  • 捕获特定网络的数据包:
    net 192.168.1.0/24
  • 捕获特定端口的数据包:
    port 80
  • 捕获源地址为特定 IP 的数据包:
    src host 192.168.1.1
  • 捕获目标地址为特定 IP 的数据包:
    dst host 192.168.1.1
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:
    src host 192.168.1.1 and port 80
  • 捕获特定源和目标地址的数据包:
    src host 192.168.1.1 and dst host 192.168.1.2
  • 捕获 TCP 和 UDP 包:
    tcp or udp

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:

基本显示过滤器
  • 过滤 TCP 包:
    tcp
  • 过滤 HTTP 请求:
    http.request
  • 过滤特定 IP 地址的源目地址:
    ip.src == 192.168.1.1
ip.dst == 192.168.1.1
  • 过滤特定端口的 TCP 包:
    tcp.port == 80
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:
    ip.src == 192.168.1.1 && http.request
  • 过滤 TCP 三次握手的数据包:
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
  • 过滤特定子网内的所有 ICMP 包:
    icmp && ip.src == 192.168.1.0/24
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:
    http.request.method == "POST" && frame contains "search_string"
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
  • 过滤 DHCP 请求:
    bootp.type == 1
  • 过滤 DNS 响应:
    dns.flags.response == 1
  • 过滤 ARP 请求:
    arp.opcode == 1
  • 过滤 TLS(前身为 SSL)握手包:
    tls.handshake.type == 1

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:
    frame contains "example.com"
  • 过滤特定字节序列:
    data.data contains 0A:0B:0C:0D
  • 过滤特定时间范围内的包:
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"
逻辑操作符
  • 逻辑 AND:
    tcp && ip.src == 192.168.1.1
  • 逻辑 OR:
    http || dns
  • 逻辑 NOT:
    !arp

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:
    http.request
  • 过滤所有 HTTP 响应:
    http.response
  • 过滤特定 URL 的 HTTP 请求:
    http.request.uri contains "login"
  • 分析特定网站的 HTTP 流量:
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。
HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):
    tcp.port == 443
DNS 协议
  • 过滤所有 DNS 查询:
    dns.flags.response == 0
  • 过滤所有 DNS 响应:
    dns.flags.response == 1
DHCP 协议
  • 过滤所有 DHCP 请求:
    bootp.type == 1
  • 过滤所有 DHCP 响应:
    bootp.type == 2
ARP 协议
  • 过滤所有 ARP 请求:
    arp.opcode == 1
  • 过滤所有 ARP 响应:
    arp.opcode == 2
ICMP 协议

  • 过滤所有 ICMP 请求(Echo Request):

    icmp.type == 8

  • 过滤所有 ICMP 响应(Echo Reply):

    icmp.type == 0

  • 调试网络中的 ICMP 流量:

    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:
    tcp.port == 25
POP3 协议
  • 过滤所有 POP3 流量:
    tcp.port == 110
IMAP 协议
  • 过滤所有 IMAP 流量:
    tcp.port == 143
冯富江的技术博客
关注
  • 20
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark基本用法及过虑规则(收集)
Youngs-RSR技术专栏
05-04 537
1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.108 or ip.dst eq 192.168.1.108或者ip.addr eq 192.168.1.108 // 都能显示来源IP和目标IP2.过滤端 口例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.po
Wireshark详细使用教程
kuokay的博客
05-18 4万+
简介 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。WireShark可以比喻做硬件工程的万用表、示波器,同样我们网络工程师或者软件工程师可以利用wireshark来进行分析网络wireshark可以做哪些事情? 1、利用wireshark进行tcp/ip知识的学习 在进行学习tcp/ip基础知识尤其是网络协议时异常枯燥,因为网络的问题看不见摸不着,所以很难.
WireShark 语法
bosy_xu的专栏
09-18 2367
<br />总体条件语法<br />||(或),&&(与),或者使用英文:and,or<br />例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />         ip.src eq 192.168.1.107 || ip.dst eq 192.168.1.107<br /> <br />条件表达式:<br />等于:==  或者 eq<br />大于: > 或者 gt<br />小于:< 或者  lt<br />不大于: <= 或者 l
Wireshark基础使用表达式语法
qq_35634181的博客
04-07 6532
Wireshark的世界里有2种过滤器,分别是捕获过滤器和显示过滤器,采用恰当的过滤器,不但能提高数据分析的灵活性,而且能让分析者更快看到自己想要的分析对象。 1.在使用Wireshark时,需要先选择一个接口, 2.在使用Wireshark进行抓包之前,可以使用捕获过滤器来捕获我们 ...
截包工具wireshark常用表达式
好玩的事情要记录下来~
09-12 1055
一、针对wireshark常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。   表达式为:ip.src==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。   表达式为:ip.dst==192.168.0
Wireshark 基本语法,基本使用方法,及包过滤规则
why__的博客
07-11 1965
Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP  ...
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容).docx
07-31
为了更好地使用 Wireshark,了解它的过滤表达式是非常重要的,本文将详细介绍 Wireshark 中的过滤表达式,包括针对 IP 地址、协议、端口、长度和内容的过滤。 一、针对 IP 地址的过滤 Wireshark 中可以使用多种...
wireshark使用教程
01-16
### Wireshark使用教程详解 #### Wireshark简介与启动 Wireshark,一款功能强大的网络封包嗅探工具,广泛应用于网络流量分析、故障排查和安全审计领域。其直观的用户界面和丰富的分析功能使其成为IT专业人士和网络...
wireshark使用报告
12-07
在本报告中,我们将深入探讨Wireshark使用方法、关键功能以及其在不同场景下的应用。 Wireshark的核心特性在于其强大的数据包捕获和解析能力。它支持多种网络协议,包括TCP/IP、HTTP、FTP、DNS等常见协议,以及...
Wireshark抓包软件的使用
11-09
Wireshark 抓包软件提供了强大的逻辑表达式的过滤功能,例如: * 前后都进行匹配:arp or http,抓取 arp 或 http 协议的数据包。 * 与、或、非运算:Ip.addr == 192.168.0.104 and tcp,抓取此 IP 地址使用 tcp ...
wireshark过滤器基本语法分析
tecoes的博客
04-13 2253
Wireshark抓包过滤器语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
Wireshark详细语法内容教程与案例
最新发布
yanbaobao1999的博客
02-14 1222
Wireshark是一款开源的网络协议分析器,用于实时捕获和分析网络流量。它支持多种操作系统,并且具有丰富的功能和灵活的过滤器语法。下面将详细介绍Wireshark的过滤器语法,并通过案例进行说明。
wireShark捕获规则语法,tcpdump基本使用
General_zy的博客
04-26 1457
ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。而免费ARP的请求报文中,目标IP地址是自己的IP地址。
快看这些wireshark 命令,必须得会!
mengmeng_921的博客
04-12 2187
5.2、搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])5.1、搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。Protocol :ether、ip、tcp、udp、http、ftp 指出协议。Direction:src、dst 指出传输方向 (源 、目的)
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 6374
若出现了黄色黄色,表示输入的过滤条件表达式语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark 日常使用指南
朱工的专栏
05-21 1万+
过滤器 捕获过滤器 (CaptureFilters) 决定将什么样的信息记录在捕获结果中。 点击如图所示图标,设置捕获过滤器规则。 在弹出的“捕获选项”界面中,选择合适的接口,然后在 Capture filter for selected interfaces 输入框中输入捕获过滤器表达式。 捕获过滤器表达式语法: 滤波器表达式由**一个或多个原语(primitive)**组成 多个原语之间使用逻辑操作符连接 原语由一个或多个限定符组成。 限定符有三类,分别是:协议、方向和类型 常用的捕获滤波表达式
wireshark过滤器表达式筛选ip 端口 和协议
05-10
总的来说,使用Wireshark过滤器表达式可以对网络数据包进行准确的筛选,并得到所需的数据包,从而加快网络问题排查的速度。熟练掌握wireshark的过滤器表达式将提高网络管理人员的工作效率和网络问题排查的准确度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值