wireshark过滤语法总结

最新推荐文章于 2025-02-27 14:46:03 发布
最新推荐文章于 2025-02-27 14:46:03 发布
阅读量1.1w 收藏 7
点赞数 2
分类专栏: 软件测试 文章标签: wireshark 软件测试 session

wireshark过滤语法总结

做应用识别这一块经常要对应用产生的数据流量进行分析。

抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西)


wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。

对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tcp.port==53、http.request.method=="GET"。

对内容的过滤,既支持深度的字符串匹配过滤如http contains "Server",也支持特定偏移处值的匹配过滤如tcp[20:3] == 47:45:54。


wireshark有两种过滤器:

捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。
显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。


捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据;显示过滤器用于过滤抓包数据,方便stream的追踪和排查。

捕捉过滤器仅支持协议过滤,显示过滤器既支持协议过滤也支持内容过滤。

两种过滤器它们支持的过滤语法并不一样。


捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置

语法:ProtocolDirectionHost(s)ValueLogical OperationsOther expression
例子:tcpdst10.1.1.180andtcp dst 10.2.2.2 3128

示例:

(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16,目的IP的TCP端口号在200至10000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。


字段详解:

Protocol(协议):
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没指明协议类型,则默认为捕捉所有支持的协议。
注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。


Direction(方向):
可能值: src, dst, src and dst, src or dst
如果没指明方向,则默认使用 “src or dst” 作为关键字。
”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。


Host(s):
可能值: net, port, host, portrange.
默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。


Logical Operations(逻辑运算):
可能值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。


显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤

1.协议过滤语法

语法:Protocol.String 1.String 2Comparison operator  ValueLogical OperationsOther expression
例子:http request method =="POST"oricmp.type

string1和string2是可选的。

依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。

按协议进行过滤:

snmp || dns || icmp显示SNMP或DNS或ICMP封包。

按协议的属性值进行过滤:
ip.addr == 10.1.1.1

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.src == 10.230.0.0/16显示来自10.230网段的封包

tcp.port == 25显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25显示目的TCP端口号为25的封包。

http.request.method== "POST"显示post请求方式的http封包。
http.host == "tracker.1ting.com"显示请求的域名为tracker.1ting.comhttp封包。

tcp.flags.syn == 0×02显示包含TCP SYN标志的封包。

2.内容过滤语法

2.1深度字符串匹配

contains :Does the protocol, field or slice contain a value

示例

tcp contains "http"显示payload中包含"http"字符串的tcp封包。

http.request.uri contains "online"显示请求的uri包含"online"的http封包。

2.2特定偏移处值的过滤

tcp[20:3] == 47:45:54  /* 16进制形式,tcp头部一般是20字节,所以这个是对payload的前三个字节进行过滤 */

http.host[0:4] == "trac"



过滤中函数的使用(upper、lower)

upper(string-field) - converts a string field to uppercase
lower(string-field) - converts a string field to lowercase
示例
upper(http.request.uri) contains "ONLINE"


wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。

如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。


第二部分

一、IP过滤:包括来源IP或者目标IP等于某个IP
  比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
  ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP
二、端口过滤:
  比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80
  过滤端口范围
    tcp.port >= 1 and tcp.port <= 80
三、协议过滤:tcp
  udp
  arp
  icmp
  http
  smtp
  ftp
  dns
  msnms
  ip
  ssl
  等等
  排除ssl包,如!ssl 或者 not ssl
四、包长度过滤:
  比如:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,eth开始到最后
五、http模式过滤:
  例子:
    http.request.method == “GET”
    http.request.method == “POST”
    http.request.uri == “/img/logo-edu.gif”
    http contains “GET”
    http contains “HTTP/1.”
    // GET
    http.request.method == “GET” && http contains “Host: ”
    http.request.method == “GET” && http contains “User-Agent: ”
    // POST
    http.request.method == “POST” && http contains “Host: ”
    http.request.method == “POST” && http contains “User-Agent: ”
    // 响应包
    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
  一定包含如下
    Content-Type:
六、连接符 and / or
七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

八、expert.message是用来对info信息过滤,主要配合contain来使用

wireshark Info栏里的”TCP segment of a reassembled PDU”的意思


  由于主机向服务器提交一个完整的数据,而这个完整的数据超出了TCP的最大MSS,因此主机就会通过发送多个数据包来传送这些数据(这些数包并未被分片),而wireshark为了标记同一个完整的数据就会注上”TCP segment of a reassembled PDU”,那么wireshark中如何查看服务端对同一个包的响应呢,这里主要是根据sequence number的值来识别的,他们的sequence number的值是一样的。


参考:

wireshark的HELP-Manual Pages-Wireshark Filter

http://blog.csdn.net/yhwxxx/article/details/5643095

http://tieba.baidu.com/p/739516717


Wireshark 过滤器的语法
迷逝
11-24 5201
wireshark过滤器分为两种:捕获过滤器、应用显示过滤器。
【网络数据报分析工具】Wireshark
m0_52923241的博客
12-25 4647
客户端界面简介 打开Wireshark后,能够看到三个区域。 最上方是工具栏区域,可以开始捕获、停止捕获等操作。 中间是Cpature Filter区域,能够在开始捕获前指定过滤规则。 下方是可以捕获的网络设备,双击其中一个设备后就开始进行网络流量的捕获。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4FUPQH2L-1640408331333)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-
Wireshark 02】抓包过滤方法
Jayson 博客
02-27 1839
Wireshark 抓包过滤方法
wireshark 的使用(filter的用法)
weixin_34409703的博客
05-27 174
转自:http://blog.csdn.net/hanyuxinting/article/details/5558095 过滤语法------------------------------------------------------------- 最简单的过滤允许你检查一个协议或者字段的存在:   如果你想查看所有的使用IP协议的数据包,过滤器为“ip”(不带引号);   想看所有...
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 8251
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
wireshark过滤器基本语法分析
tecoes的博客
04-13 3641
Wireshark抓包过滤语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
WireShark_过滤语法.docx
08-05
以下是对标题和描述中提到的Wireshark过滤语法的详细解释: 1. **过滤IP地址**: - `ip.src eq 192.168.1.107`:过滤源IP地址为192.168.1.107的包。 - `ip.dst eq 192.168.1.107`:过滤目标IP地址为192.168.1.107...
[ Linux ] Wireshark 过滤语法总结
qq_40636259的博客
07-16 666
0x00 简介 Wireshark 是一款十分强大的开源数据包抓包分析工具, 其重要性在此就不过多赘述了; 官网下载地址: https://www.wireshark.org/#download 官方帮助文档: https://www.wireshark.org/#learnWS 0x01 基础使用 启动 wireshark , 在欢迎界面选择要使用的网卡, 在此也可以设置 抓包筛选器( capt...
wireshark过滤
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
Wireshark过滤DNS协议包语法实战
qq_36588424的博客
02-21 3302
现网DNS服务器发现CPU突增,发现有可能是客户恶意发起的随机子域名扫描,对服务器进行抓包分析,记录下当时的操作。
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark过滤
GY_1202的博客
06-10 7919
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
wireshark过滤规则
知道不_zkl的博客
06-04 1010
​  转载自https://blog.csdn.net/a2657222/article/details/7820036  首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!” 和 “not” 都表示取反。 一,针对地址的过滤   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    ...
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
二.wireshark过滤[如何过滤信息]
热门推荐
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
wireshark常用过滤命令
教Linux的李老师
06-24 8667
wireshark常用过滤命令
wireshark过滤源IP和目的IP,Wireshark 抓包过滤命令大全!
logic1001的博客
02-05 2759
Wireshark 是一款,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤过滤 HTTP 流量过滤 DNS 流量过滤 TCP 流量过滤 UDP 流量。
Wireshark抓包过滤
mayue_web的博客
05-07 1万+
简介 Wireshark是windows下的抓包工具。 本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。 Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器 使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的...
Wireshark过滤语法
最新发布
04-01
<think>好的,我现在需要帮用户了解Wireshark过滤语法,包括使用方法、示例等。首先,我应该回忆一下自己对Wireshark过滤器的了解,然后结合用户提供的引用内容来组织回答。 用户的问题是关于Wireshark过滤器的语法、示例和使用方法。根据系统级指令,我需要确保回答结构清晰,分步骤说明,同时生成相关问题。还要注意引用标记的正确添加,以及使用正确的LaTeX格式。 首先,用户提到的引用有三个:[^1]、[^2]、[^3]。引用1提到显示过滤器的作用、使用方法和常见示例;引用2提到了更多示例和过滤表达式;引用3则涉及TCP标志位的过滤,比如URG、ACK等。这些都需要在回答中适当引用。 接下来,我需要整理Wireshark过滤器的基本概念,分为捕获过滤器和显示过滤器。捕获过滤器使用BPF语法,而显示过滤器使用更灵活的语法。需要分别说明它们的语法规则,并给出示例。 例如,捕获过滤器的例子可能包括只捕获HTTP流量或特定IP地址。显示过滤器的例子可能包括过滤协议、IP地址、端口、TCP标志等。这里需要确保每个例子都正确,并符合引用中的内容,比如引用3中的TCP标志位。 然后,要提到复合表达式的使用,逻辑运算符如and、or、not,以及字段的存在性检查。同时,需要提到如何验证过滤语法的正确性,比如Wireshark的绿色背景提示,这可能是引用1或2中的内容。 在常见示例部分,需要涵盖HTTP、IP地址、端口组合、数据包长度、TCP标志等。特别是TCP标志的部分要准确,比如tcp.flags.syn==1和tcp.flags.ack==1的组合,这来自引用3。 最后,注意事项部分要提醒用户语法严格、字段名称的正确使用,以及测试复杂表达式的方法。这些内容可能参考了引用1和2中的使用指南。 生成的相关问题需要围绕用户可能进一步想了解的内容,比如捕获与显示过滤器的区别、特定协议过滤、排除噪音的方法以及过滤器的保存方法。这些问题应该自然延伸当前主题,并帮助用户深入学习。 在写作过程中,要确保所有行内数学表达式(如果有的话)使用$...$,但根据内容来看,这里可能不需要数学公式。但如果有涉及,比如数据包长度范围,可能需要用正确的格式。不过目前看来,Wireshark过滤器更多是语法而非数学表达式,所以这部分可能不适用。 最后检查是否符合所有系统级指令:结构清晰、引用正确、中文回答、生成相关问题,以及正确使用LaTeX。确认引用标记在相关段落末尾自然添加,比如在提到TCP标志时引用[^3],在语法验证时引用或。</think>### Wireshark过滤语法详解 #### 一、过滤器类型 Wireshark支持两种过滤器: 1. **捕获过滤器**(BPF语法):在抓包时过滤流量,语法为`host 192.168.1.1 and tcp port 80` 2. **显示过滤器**:对已捕获的流量进行二次筛选,语法更灵活 #### 二、显示过滤语法规则 1. **基本格式**:`协议.字段 运算符 值` - 示例:`http.request.method == "GET"` 2. **常用运算符**: - 比较:`==`、`!=`、`>`、`<` - 包含:`contains`(如`http.host contains "baidu"`) - 匹配:`matches`(支持正则表达式) 3. **逻辑运算符**: - 与:`and`(如`ip.src == 192.168.1.1 and tcp.port == 80`) - 或:`or` - 非:`!` 或 `not` 4. **存在性检查**: - 检查字段是否存在:`tcp.flags.syn`(等价于`tcp.flags.syn == 1`) #### 三、常见过滤示例 1. **协议过滤**: ```bash http # 所有HTTP流量 dns.qry.name # 包含DNS查询名的数据包 ``` 2. **IP地址过滤**: ```bash ip.addr == 192.168.1.100 # 源或目标IP ip.src == 10.0.0.1 and ip.dst == 8.8.8.8 ``` 3. **端口组合过滤**: ```bash tcp.port in {80 443 8080} # 多端口过滤 udp.port != 53 # 排除DNS流量 ``` 4. **数据包特征过滤**: ```bash frame.len > 1000 # 大于1000字节的数据包 tcp.flags.syn == 1 # 所有SYN包 tcp.analysis.retransmission # 重传数据包 ``` #### 四、语法验证技巧 1. 输入时会自动提示可用字段 2. 语法正确的表达式输入框显示绿色背景 3. 右击数据包字段可直接生成过滤表达式 #### 五、注意事项 1. 字段名称严格区分大小写(如`tcp`有效,`TCP`无效) 2. 字符串比较需用双引号:`http.user_agent == "curl/7.68.0"` 3. 复杂表达式建议分段测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值