wireshark常见使用表达式

最新推荐文章于 2024-07-05 16:21:49 发布
最新推荐文章于 2024-07-05 16:21:49 发布
阅读量961 收藏 28
点赞数 20
分类专栏: 工具使用 文章标签: wireshark 网络 抓包 协议 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/139814878
版权

目录

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:
    tcp
  • 捕获特定 IP 地址的数据包:
    host 192.168.1.1
  • 捕获特定网络的数据包:
    net 192.168.1.0/24
  • 捕获特定端口的数据包:
    port 80
  • 捕获源地址为特定 IP 的数据包:
    src host 192.168.1.1
  • 捕获目标地址为特定 IP 的数据包:
    dst host 192.168.1.1
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:
    src host 192.168.1.1 and port 80
  • 捕获特定源和目标地址的数据包:
    src host 192.168.1.1 and dst host 192.168.1.2
  • 捕获 TCP 和 UDP 包:
    tcp or udp

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:

基本显示过滤器
  • 过滤 TCP 包:
    tcp
  • 过滤 HTTP 请求:
    http.request
  • 过滤特定 IP 地址的源目地址:
    ip.src == 192.168.1.1
ip.dst == 192.168.1.1
  • 过滤特定端口的 TCP 包:
    tcp.port == 80
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:
    ip.src == 192.168.1.1 && http.request
  • 过滤 TCP 三次握手的数据包:
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
  • 过滤特定子网内的所有 ICMP 包:
    icmp && ip.src == 192.168.1.0/24
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:
    http.request.method == "POST" && frame contains "search_string"
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
  • 过滤 DHCP 请求:
    bootp.type == 1
  • 过滤 DNS 响应:
    dns.flags.response == 1
  • 过滤 ARP 请求:
    arp.opcode == 1
  • 过滤 TLS(前身为 SSL)握手包:
    tls.handshake.type == 1

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:
    frame contains "example.com"
  • 过滤特定字节序列:
    data.data contains 0A:0B:0C:0D
  • 过滤特定时间范围内的包:
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"
逻辑操作符
  • 逻辑 AND:
    tcp && ip.src == 192.168.1.1
  • 逻辑 OR:
    http || dns
  • 逻辑 NOT:
    !arp

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:
    http.request
  • 过滤所有 HTTP 响应:
    http.response
  • 过滤特定 URL 的 HTTP 请求:
    http.request.uri contains "login"
  • 分析特定网站的 HTTP 流量:
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。
HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):
    tcp.port == 443
DNS 协议
  • 过滤所有 DNS 查询:
    dns.flags.response == 0
  • 过滤所有 DNS 响应:
    dns.flags.response == 1
DHCP 协议
  • 过滤所有 DHCP 请求:
    bootp.type == 1
  • 过滤所有 DHCP 响应:
    bootp.type == 2
ARP 协议
  • 过滤所有 ARP 请求:
    arp.opcode == 1
  • 过滤所有 ARP 响应:
    arp.opcode == 2
ICMP 协议

  • 过滤所有 ICMP 请求(Echo Request):

    icmp.type == 8

  • 过滤所有 ICMP 响应(Echo Reply):

    icmp.type == 0

  • 调试网络中的 ICMP 流量:

    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:
    tcp.port == 25
POP3 协议
  • 过滤所有 POP3 流量:
    tcp.port == 110
IMAP 协议
  • 过滤所有 IMAP 流量:
    tcp.port == 143
冯富江的技术博客
关注
  • 20
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark详细使用教程
kuokay的博客
05-18 4万+
简介 Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。WireShark可以比喻做硬件工程的万用表、示波器,同样我们网络工程师或者软件工程师可以利用wireshark来进行分析网络wireshark可以做哪些事情? 1、利用wireshark进行tcp/ip知识的学习 在进行学习tcp/ip基础知识尤其是网络协议时异常枯燥,因为网络的问题看不见摸不着,所以很难.
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容).docx
07-31
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)过滤表达式
MAC上使用Wireshark常见问题
SchopenhauerZhang的博客
10-15 2759
Wireshark抓包使用指南
Wireshark基础使用表达式语法
qq_35634181的博客
04-07 6369
Wireshark的世界里有2种过滤器,分别是捕获过滤器和显示过滤器,采用恰当的过滤器,不但能提高数据分析的灵活性,而且能让分析者更快看到自己想要的分析对象。 1.在使用Wireshark时,需要先选择一个接口, 2.在使用Wireshark进行抓包之前,可以使用捕获过滤器来捕获我们 ...
WireShark抓包使用方法
让你爱上电路设计
04-13 2968
内容包括Wireshark软件安装、抓包示例,过滤器使用Wireshark分析常用操作。
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式
weixin_42988176的博客
04-02 3101
一、说明 1.1 背景说明 对于大多数刚开始接触wireshark使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。 一是界面一堆窗口,什么作用什么区别看不懂;二是捕获、显示过滤器表达示看不出有什么规律,每次过滤都要百度找半天。其实wireshark界面还是比较清晰的,过滤器表过示也不困难,我们今天就来破解这wireshark使用
计算机网络知识全面讲解:wireshark复合过滤表达式
weixin_70374410的博客
07-17 1628
筛选内容包含username的http数据包——httpconta?筛选内容包含password的http数据包——httpconta?筛选URL中包含.php的http数据包——http.request.ur?938ad1326的数据包——eth.dst==筛选源端口51933到目标端口80的数据包——tcp.srcport==51933。筛选源MAC地址为04?938ad1326的数据包——eth.src==筛选端口为80的数据包——tcp.port==80。...
Wireshark 日常使用指南
热门推荐
朱工的专栏
05-21 1万+
过滤器 捕获过滤器 (CaptureFilters) 决定将什么样的信息记录在捕获结果中。 点击如图所示图标,设置捕获过滤器规则。 在弹出的“捕获选项”界面中,选择合适的接口,然后在 Capture filter for selected interfaces 输入框中输入捕获过滤器表达式。 捕获过滤器表达式语法: 滤波器表达式由**一个或多个原语(primitive)**组成 多个原语之间使用逻辑操作符连接 原语由一个或多个限定符组成。 限定符有三类,分别是:协议、方向和类型 常用的捕获滤波表达式
wireshark使用报告
12-07
在本报告中,我们将深入探讨Wireshark使用方法、关键功能以及其在不同场景下的应用。 Wireshark的核心特性在于其强大的数据包捕获和解析能力。它支持多种网络协议,包括TCP/IP、HTTP、FTP、DNS等常见协议,以及...
Wireshark抓包软件的使用
11-09
Wireshark 抓包软件提供了强大的逻辑表达式的过滤功能,例如: * 前后都进行匹配:arp or http,抓取 arp 或 http 协议的数据包。 * 与、或、非运算:Ip.addr == 192.168.0.104 and tcp,抓取此 IP 地址使用 tcp ...
Wireshark使用教程.rar
07-09
Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 目录: 第 1 章 介绍 4 1.1. 什么是Wireshark 4 1.1.1. 主要应用 4 1.1.2. 特性 4 1.1.3. 捕捉多种网络接口 5 1.1.4. 支持多种其它程序捕捉的...
wireshark使用方法.doc
10-06
对于过滤命令,Wireshark支持多种条件组合,如通过“and”和“or”连接不同的过滤表达式。以下是一些常见抓包过滤命令示例: - MAC地址过滤:ether host 00:18:8b:ba:86:d6 - IP地址过滤:host 192.168.1.10 - ...
wireshark与tcpdump使用
tkgup的博客
07-02 167
官网:http://www.tcpdump.org需要安装libpcap。
基于Wireshark和TiWsPC(Wireshark Packet Converter)的Zigbee抓包
一颗百年大树的成长
07-05 797
TiWsPC(Wireshark Packet Converter)结合强大的Wireshark对Zigbee抓包,非常方便,好用还免费。 环境配置对新手来说有点难度。 本文介绍TiWsPC/Wireshark对Zigbee抓包的环境配置和使用方法。
Wireshark网络抓包工具入门指南
LKHzzzzz的博客
07-05 1035
为了保证数据包的完整捕获,操作者需要具备对网络接口的完全访问权限,因此,在Linux环境下启动Wireshark时,常需要使用。当一个计算机需要向另一个计算机发送数据时,它需要知道目标计算机的MAC地址,而不是IP地址。0x0003 接收发往本机的MAC所有类型: ip,arp,rarp数据帧, 接收从本机发出去的数据帧,RARP: RARP协议则是与ARP相反的过程,它用于将MAC地址解析为IP地址。0x0800 只接收发往本机的mac的ip类型的数据帧。笔试题: type类型都有哪些?
Dump audio source from wireshark
最新发布
agathakuan的博客
07-05 665
Import 原始資料 > open .raw in Audacity。
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
gaogao0305的博客
07-02 527
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
windows网络进阶之listen参数含义
m0_62681656的博客
07-02 782
在Windows网络编程中,在使用TCP时,listen函数它是一个重要的关键的步骤,使得套接字能够接收传入的连接请求,下面我主要通过实战案例讲解listen参数的含义。注:本章是一个进阶篇,前提是能够掌握基础windows网络编程概念。二、listen参数1.SOCKET s这是一个已绑定(通过bind函数)的套接字,作用用于接收客户端的连接请求。这个参数比较好理解,我们重点讲解第二个参数。挂起的连接队列的最大长度。
wireshark过滤器表达式筛选ip 端口 和协议
05-10
Wireshark作为一款强大的网络抓包分析工具,可以对网络数据包进行详细的分析和解析。当我们需要对抓包到的大量数据包进行筛选和分析时,就需要用到Wireshark过滤器表达式来进行筛选。Wireshark过滤器表达式可以对数据包进行复杂的筛选处理,从而得到所需的数据包。其中,筛选IP、端口和协议是比较常见的操作。 在Wireshark中,IP地址是唯一的网络标识符,在筛选时经常作为关键字来使用。通过运用“ip.addr”或“ip.src”和“ip.dst”,我们可以轻松地筛选源IP和目的IP地址。这种方式特别适用于需要监视某个特定网络设备的流量,或是需要针对某个具体的IP地址进行分析时。 Wireshark还提供了一种以端口为基础的过滤方法,该方法包括以下部分: - “tcp.port”和“udp.port”表示TCP和UDP端口。 - “port”可以过滤使用TCP或UDP协议的任何端口。 - “tcp/udp.port”可以同时过滤TCP和UDP端口。 通过这种方式,我们可以对网络数据的端口进行筛选,从而达到对网络流量进行过滤的目的。 除了IP地址和端口号之外,协议也是非常关键的一个过滤条件,常用的协议包括HTTP、FTP、SMTP和POP等常见的应用层协议,以及TCP、UDP等传输层协议。运用Wireshark的“proto”命令可以轻松地过滤特定协议网络数据包。 总的来说,使用Wireshark过滤器表达式可以对网络数据包进行准确的筛选,并得到所需的数据包,从而加快网络问题排查的速度。熟练掌握wireshark的过滤器表达式将提高网络管理人员的工作效率和网络问题排查的准确度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值