wireshark过滤表达式实例介绍

最新推荐文章于 2024-08-15 23:01:38 发布
最新推荐文章于 2024-08-15 23:01:38 发布
阅读量4.1k 收藏 4
点赞数 1
分类专栏: 网络编程 文章标签: tcp 正则表达式 perl byte c

wireshark过滤表达式实例介绍

wireshark过滤表达式实例介绍~~

wireshark,实例,表达wireshark,实例,表达

----------------------------------------------------------------------------------------

1、wireshark基本的语法字符

 

/d0-9的数字

/D/d的补集(以所以字符为全集,下同),即所有非数字的字符

/w单词字符,指大小写字母、0-9的数字、下划线

/W/w的补集

/s空白字符,包括换行符/n、回车符/r、制表符/t、垂直制表符/v、换页符/f

/S/s的补集

.除换行符/n外的任意字符。在Perl中,“.”可以匹配新行符的模式被称作“单行模式”

.*匹配任意文本,不包括回车(/n)?。而,[0x00-0xff]*匹配任意文本,包括/n

[…]匹配[]内所列出的所有字符

[^…]匹配非[]内所列出的字符

 

----------------------------------------------------------------------------------------

2、定位字符所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。

 

^表示其后的字符必须位于字符串的开始处

$表示其前面的字符必须位于字符串的结束处

/b匹配一个单词的边界

/B匹配一个非单词的边界

 

----------------------------------------------------------------------------------------

3、重复描述字符

 

{n}匹配前面的字符n次

{n,}匹配前面的字符n次或多于n次

{n,m}匹配前面的字符n到m次

?匹配前面的字符0或1次

+匹配前面的字符1次或多于1次

*匹配前面的字符0次或式于0次

 

----------------------------------------------------------------------------------------

4、andor匹配

 

and符号并

or符号或

例如:

tcpandtcp.port==80

tcporudp

 

----------------------------------------------------------------------------------------

5、wireshark过滤匹配表达式实例

 

5.1、搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])

udp[8]==14(14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包

udp[8:2]==14:05可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。(相当于udp[8]==14andudp[9]==05,1405是0x1405)

udp[8:3]==22:00:f7但是不可以udp[8:3]==2200f7

udp[8:4]==00:04:00:2a,匹配payload的前4个字节0x0004002a

而udpcontains7c:7c:7d:7d匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

udp[8:4]matches"//x14//x05//x07//x18"

udp[8:]matches"^//x14//x05//x07//x18//x14"

 

5.2、搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])

tcp[20:]matches"^GET[-~]*HTTP/1.1//x0d//x0a"

等同httpmatches"^GET[-~]*HTTP/1.1//x0d//x0a"

 

tcp[20:]matches"^GET(.*?)HTTP/1.1//x0d//x0a"

tcp[20:]matches"^GET(.*?)HTTP/1.1//x0d//x0a[//x00-//xff]*Host:(.*?)pplive(.*?)//x0d//x0a"

tcp[20:]matches"^GET(.*?)HTTP/1.1//x0d//x0a[//x00-//xff]*Host:"

tcp[20:]matches"^POST/HTTP/1.1//x0d//x0a[//x00-//xff]*//x0d//x0aConnection:Keep-Alive//x0d//x0a//x0d//x0a"

 

检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。

tcp[24:4]==ff:53:4d:42

 

检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。

tcpcontainsff:53:4d:42

tcpmatches"//xff//x53//x4d//x42"

 

检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。

tcpmatches"//x01//xbd"

 

检测MS08067的RPC请求路径

tcp[179:13]==00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00

/../..

5.3、其他

http.request.urimatches".gif$"匹配过滤HTTP的请求URI中含有".gif"字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)

注意区别:http.request.uricontains".gif$"与此不同,contains是包含字符串".gif$"(5个字节)。匹配过滤HTTP的请求URI中含有".gif$"字符串的http请求数据包(这里$是字符,不是结尾符)

 

eth.addr[0:3]==00:1e:4f搜索过滤MAC地址前3个字节是0x001e4f的数据包。

Gary@Tokyo
关注
专栏目录
wireshark过滤
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
【LeetCode.10 正则表达式匹配】
程序员小辰的代码小窝
09-08 370
【LeetCode.10 正则表达式匹配】 10. 正则表达式匹配 给你一个字符串 s 和一个字符规律 p,请你来实现一个支持 '.' 和 '*' 的正则表达式匹配。 '.' 匹配任意单个字符 '*' 匹配零个或多个前面的那一个元素 所谓匹配,是要涵盖 整个 字符串 s的,而不是部分字符串。 说明: s 可能为空,且只包含从 a-z 的小写字母。 p 可能为空,且只包含从 a-z 的小写字母,以及字符 . 和 *。 【分析】这道题曾经困扰了我好久……直到今天看到力扣官方题解有点思路,记录一下。这道
wireshark 实用过滤表达式
weixin_49231595的博客
01-13 1万+
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 1.关键字 “与”:“eq”和“==”等同,可以使用“and”表示并且, “或”:“or”表示或者。 “非”:“!"和"not”都表示取反。 多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。 2.针对ip的过滤 针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满...
Wireshark显示过滤器常用关键字及过滤表达式
最新发布
geriletuma
08-15 1581
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式
wireshark过滤规则表达式
wangzhen_csdn的博客
08-02 2102
1.协议过滤表达式栏中直接填写协议名:比如TCP 只显示TCP协议报文 tcp udp arp http 等 2. IP 过滤: 在显示过滤表达式栏中填写:例如 ip.src == 192.168.1.102 显示源地址为192.168.1.102的报文 ip.dst == 192.168.1.104 显示目的地址为192.168.1.104 的报文 3. 端口过滤tcp
wireshark中进行关键字搜索-关键字,基于协议的关键字,关键字支持正则表达式
热门推荐
刘贝斯老师的博客
03-25 1万+
语法: frame contains “字符串” 配置举例 1、在整个pcap文件中,搜索linux关键字–frame contains “linux” 2、搜索linux关键字的时候,基于DNS协议 要基于协议来搜索关键字,我们首先要知道该字段在协议的哪个位置。 如下图,DNS的queries下的name字段,放的dns解析后的域名, 查到了过滤语句: dns.qry. name 基于协议...
wireshark基本过滤方式
CLown5的博客
08-18 9121
wireshark基本过滤规则
Wireshark 常用的抓包过滤表达式
Cloud-Future的博客
03-11 4583
这里的抓包过滤器是指下面的输入框,不是捕获过滤器。 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都...
Wireshark网络分析实例集锦
07-29
- **常用捕获过滤器**:学习如“ip.src == 192.168.1.1”这样的基本过滤表达式,以及更复杂的过滤器组合。 - **协议特定过滤器**:掌握针对特定协议(如HTTP、DNS)的过滤器,便于分析特定网络流量。 - **实时...
Wireshark网络分析实例集锦—第1章 Wireshark的基础知识
07-07
Wireshark是一款强大的网络封包分析软件,广泛用于网络故障排查、网络安全分析和协议...通过阅读"Wireshark网络分析实例集锦—第1章 Wireshark的基础知识.pdf",读者将能够逐步熟悉并运用Wireshark进行有效的网络分析。
Wireshark网络分析实例集锦—第2章 Wireshark的基础知识
01-26
### Wireshark网络分析实例集锦—第2章 Wireshark的基础知识 #### Wireshark概述 Wireshark是一款强大的开源网络封包分析工具,它能够捕获并详细解析网络中的数据包。作为网络分析领域不可或缺的利器,Wireshark被...
wireshark抓包详细图文教程
07-12
#### 九、常用过滤表达式 - `http`:只查看HTTP协议的记录。 - `ip.src == 192.168.1.102 or ip.dst == 192.168.1.102`:源地址或目标地址为192.168.1.102。 以上是对Wireshark抓包过程及基本使用的详细介绍。希望...
Wireshark - 过滤表达式的规则
小肥丸
05-23 1260
Wireshark - 过滤表达式的规则
Wireshark教程:显示过滤表达式
nuan444979的博客
09-22 4967
Wireshark显示过滤表达式
wireshark表达式
mct123的专栏
05-27 829
eth.addr == 00:0c:29:dc:76:a0 and udp //网卡地址是且是udp协议ip.addr == 172.30.1.204    //ip地址eth.addr == 58-00-E3-D9-D6-0D and arp //网卡地址是且是arp协议
SCTP_window7
anloan的专栏
10-25 1113
今天第一次接触实验室的工作,老师让我们根据程序完成一个小功能,弄懂sctpdrv的select的功能。因为老师在跑的时候遇到了蓝屏的情况,各种尝试解决未果的情况下,相当烦恼。 慢慢入手: Wireshark FILTER的操作: 首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。 一、针对wir
可配置过滤表达式
weixin_42381026的博客
12-06 349
多个维度过滤规则同时使用杂且乱,复杂过滤条件同时使用如何精简 { "filter_rules": [ { "id": "R1", "op": "in", "dim": "event_type", "value": [ "visit", "custom" ] }, {
Wireshark网络封包分析工具介绍+过滤表达式语法
张维鹏的博客
10-28 7446
目录: 一、WireShark界面说明: 1、开始捕捉界面: 2、捕捉结果界面: 3、着色规则: 二、捕捉过滤器: 1、捕捉过滤表达式: 2、捕捉过滤器语法: 三、显示过滤器: 1、基本过滤表达式: 2、复合过滤表达示: 3、常见用显示过滤需求及其对应表达式WireShark安装,安装非常简单,处理安装路径自定义之外,其他都直接点下一步。 一、WireShark界面......
Wireshark CLI | 过滤包含特定字符串的流
7ACE的博客
05-04 795
Wireshark CLI | 过滤包含特定字符串的流
Wireshark常用过滤表达式
07-24
Wireshark是一款强大的网络协议分析工具,用于捕获并详细解析网络流量。为了方便用户针对特定数据包进行筛选,Wireshark提供了一系列过滤表达式。这些表达式允许用户基于多种条件来选择、显示或忽略捕获的数据包。下面是一些常用的Wireshark过滤表达式及其用途: ### 通用过滤 #### 匹配数据包编号(Packet Number) ``` tcp.port == <端口号> udp.port == <端口号> icmp.type == <ICMP 类型> ``` 这样的表达式可以用来过滤出所有目标或源端口为指定值的数据包。 #### 匹配IP地址 ``` ip.addr == <IP 地址> dst.ip.addr == <目的 IP 地址> src.ip.addr == <源 IP 地址> ``` 这可以帮助定位到特定IP的通信情况。 #### 匹配TCP连接状态 ``` tcp.flags.syn && tcp.flags.ack ``` 这表示选择所有SYN+ACK数据包,通常用于追踪三次握手过程。 ### 协议层级过滤 #### HTTP过滤 ``` http.request.method == "GET" http.response.status_code >= 400 ``` 这些表达式可用于检查HTTP请求方法或响应的状态码。 #### DNS查询过滤 ``` dns.qry.name == "*.google.com" && dns.qry.type == "A" ``` 这将帮助查找对特定域名的所有DNS A记录查询。 ### 数据包内容过滤 #### 搜索特定字符串 ``` content("Hello World") ``` 此表达式用于搜索包含特定文本的内容字段。 #### 网络流过滤 ``` http.cookie.contains("session_id") ``` 对于HTTP流来说,可以搜索特定cookie是否存在。 ### 其他常见过滤表达式 - **IPv6**: `ip6.addr == <IPv6 地址>` - **UDP** 或 **TCP** 的任意端口: `tcp.port == any` 或 `udp.port == any` - **ICMPv6** 或 **ICMP** 请求类型: `icmp.type == <类型 ID>` 这些过滤表达式只是冰山一角,实际应用中可能会结合多个条件来进行更精细的选择。熟练运用Wireshark过滤功能可以使网络数据分析变得更加高效和有针对性。此外,Wireshark还支持正则表达式和其他高级过滤选项,进一步提升了其灵活性和强大性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值