wireshark常见使用表达式

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:
    tcp
    
  • 捕获特定 IP 地址的数据包:
    host 192.168.1.1
    
  • 捕获特定网络的数据包:
    net 192.168.1.0/24
    
  • 捕获特定端口的数据包:
    port 80
    
  • 捕获源地址为特定 IP 的数据包:
    src host 192.168.1.1
    
  • 捕获目标地址为特定 IP 的数据包:
    dst host 192.168.1.1
    
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:
    src host 192.168.1.1 and port 80
    
  • 捕获特定源和目标地址的数据包:
    src host 192.168.1.1 and dst host 192.168.1.2
    
  • 捕获 TCP 和 UDP 包:
    tcp or udp
    

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:


基本显示过滤器
  • 过滤 TCP 包:
    tcp
    
  • 过滤 HTTP 请求:
    http.request
    
  • 过滤特定 IP 地址的源目地址:
    ip.src == 192.168.1.1
    ip.dst == 192.168.1.1
    
  • 过滤特定端口的 TCP 包:
    tcp.port == 80
    
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:
    ip.src == 192.168.1.1 && http.request
    
  • 过滤 TCP 三次握手的数据包:
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
    
  • 过滤特定子网内的所有 ICMP 包:
    icmp && ip.src == 192.168.1.0/24
    
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:
    http.request.method == "POST" && frame contains "search_string"
    
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
    
协议特定显示过滤器
  • 过滤 DHCP 请求:
    bootp.type == 1
    
  • 过滤 DNS 响应:
    dns.flags.response == 1
    
  • 过滤 ARP 请求:
    arp.opcode == 1
    
  • 过滤 TLS(前身为 SSL)握手包:
    tls.handshake.type == 1
    

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:
    frame contains "example.com"
    
  • 过滤特定字节序列:
    data.data contains 0A:0B:0C:0D
    
  • 过滤特定时间范围内的包:
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"
    

逻辑操作符
  • 逻辑 AND:
    tcp && ip.src == 192.168.1.1
    
  • 逻辑 OR:
    http || dns
    
  • 逻辑 NOT:
    !arp
    

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:
    http.request
    
  • 过滤所有 HTTP 响应:
    http.response
    
  • 过滤特定 URL 的 HTTP 请求:
    http.request.uri contains "login"
    
  • 分析特定网站的 HTTP 流量:
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
    
    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。
HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):
    tcp.port == 443
    
DNS 协议
  • 过滤所有 DNS 查询:
    dns.flags.response == 0
    
  • 过滤所有 DNS 响应:
    dns.flags.response == 1
    
DHCP 协议
  • 过滤所有 DHCP 请求:
    bootp.type == 1
    
  • 过滤所有 DHCP 响应:
    bootp.type == 2
    
ARP 协议
  • 过滤所有 ARP 请求:
    arp.opcode == 1
    
  • 过滤所有 ARP 响应:
    arp.opcode == 2
    
ICMP 协议
  • 过滤所有 ICMP 请求(Echo Request):

    icmp.type == 8
    
  • 过滤所有 ICMP 响应(Echo Reply):

    icmp.type == 0
    
  • 调试网络中的 ICMP 流量:

    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
    

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:
    tcp.port == 25
    
POP3 协议
  • 过滤所有 POP3 流量:
    tcp.port == 110
    
IMAP 协议
  • 过滤所有 IMAP 流量:
    tcp.port == 143
    
  • 20
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值