文章目录
WireShark
快捷使用
http.host contains domain.com
过滤规则
wireshark过滤的语法
- 协议过滤
- 内容过滤
两种过滤器
- 捕捉过滤器(CaptureFilters):决定将什么样的信息记录在捕捉结果中。
- 显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。
捕捉过滤器
说明
- Protocol(协议)
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
- Direction(方向)
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。
例如,”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。
- Host(s)
可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用”host”关键字。
例如,”src 10.1.1.1″与”src host 10.1.1.1″相同。
- Logical Operations(逻辑运算):
可能的值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。
常见捕捉表达式
host 10.175.30.35 and tcp port 80 //捕捉目的或来源IP地址为10.175.30.35并且目的和来源TCP端口为80的封包
host 228.228.228.228 //捕捉目的或来源IP地址为228.228.228.228的封包
ip src host 10.175.40.35 //捕捉来源IP地址为10.175.40.35的封包
ip dst host 10.175.40.35 //捕捉目的IP地址为10.175.40.35的封包
tcp dst port 80 //捕捉目的TCP端口为80的封包
src portrange 2000-2500 //捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
ether host e0-05-d5-44-b1-3c //捕捉目的或来源MAC地址为e0-05-d5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时,可以将这里的mac地址换成路由的mac地址即可。
显示过滤器
说明
逻辑运算符为 AND/ OR
协议过滤
tcp //显示tcp数据包
udp //显示udp数据包
snmp || dns || icmp //显示SNMP或DNS或ICMP封包
# http、dns、icmp……
IP过滤
ip.addr == 10.1.1.1 //显示来源或目的IP地址为10.1.1.1的封包
ip.src == 192.168.1.102 //显示源地址为192.168.1.102
ip.dst == 192.168.1.102 //显示目的地址为192.168.1.102
ip.src != 10.1.2.13 or ip.dst != 10.4.15.6 //显示来源不为10.1.2.13或者目的不为10.4.15.6的封包
端口过滤
tcp.port == 80 //显示来源或目的TCP端口号为80的封包
tcp.dstport == 80 //显示目的TCP端口号为80的封包
tcp.srcport == 80, //显示来源TCP端口号为80的封包
http模式过滤
http.request.method=="GET" //只显示HTTP GET方法的数据包
过滤MAC地址/物理地址
ether host 80:16:2a:ce:3f:01 //过滤目标或源地址是80:16:2a:ce:3f:01的数据包
ether dst host 84:f6:2f:ce:3f:00 //过滤目标地址是84:f6:2f:ce:3f:00的数据包
ether src host 40:f6:5e:ce:3f:01 //过滤源地址是40:f6:5e:ce:3f:01的数据包
TCP参数过滤
tcp.flags // 显示包含TCP标志的封包。
tcp.flags.syn == 0x02 // 显示包含TCP SYN标志的封包。
tcp.window_size == 0 && tcp.flags.reset != 1
Q&A
Wireshark捕获https数据包
portmap指ONC RPC portmapper协议。仅用于ONC RPC协议(例如NFS,YP和portmapper / rpcbind协议本身)。
HTTP和HTTP-over-SSL / TLS(即“ https”)不使用ONC RPC,尤其不要使用端口映射器。它们运行在TCP之上,因此您需要显示过滤器,例如tcp.port == 443。 (如果您需要捕获过滤器,那么捕获的唯一流量就是去往或来自端口443的流量,port 443将是等效的捕获过滤器。)