WireShark_Tips

最新推荐文章于 2024-07-25 19:02:55 发布
最新推荐文章于 2024-07-25 19:02:55 发布
阅读量179 收藏
点赞数
分类专栏: 666-Tips 文章标签: wireshark udp tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013045987/article/details/120055752
版权

文章目录

WireShark

快捷使用

http.host contains domain.com

过滤规则

wireshark过滤的语法

  • 协议过滤
  • 内容过滤

两种过滤器

  • 捕捉过滤器(CaptureFilters):决定将什么样的信息记录在捕捉结果中。
  • 显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。

捕捉过滤器

说明

  • Protocol(协议)

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。

  • Direction(方向)

可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 “src or dst” 作为关键字。
例如,”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。

  • Host(s)

可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用”host”关键字。
例如,”src 10.1.1.1″与”src host 10.1.1.1″相同。

  • Logical Operations(逻辑运算):

可能的值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
例如,
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。

常见捕捉表达式

host 10.175.30.35 and tcp port 80	//捕捉目的或来源IP地址为10.175.30.35并且目的和来源TCP端口为80的封包
host 228.228.228.228				//捕捉目的或来源IP地址为228.228.228.228的封包
ip src host 10.175.40.35  			//捕捉来源IP地址为10.175.40.35的封包
ip dst host 10.175.40.35  			//捕捉目的IP地址为10.175.40.35的封包
tcp dst port 80  					//捕捉目的TCP端口为80的封包
src portrange 2000-2500  			//捕捉来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
ether host e0-05-d5-44-b1-3c 		//捕捉目的或来源MAC地址为e0-05-d5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时,可以将这里的mac地址换成路由的mac地址即可。

显示过滤器

说明

逻辑运算符为 AND/ OR

协议过滤

tcp							//显示tcp数据包
udp							//显示udp数据包
snmp || dns || icmp 		//显示SNMP或DNS或ICMP封包
# http、dns、icmp……

IP过滤

ip.addr == 10.1.1.1  		//显示来源或目的IP地址为10.1.1.1的封包
ip.src == 192.168.1.102 	//显示源地址为192.168.1.102
ip.dst == 192.168.1.102 	//显示目的地址为192.168.1.102
ip.src != 10.1.2.13 or ip.dst != 10.4.15.6  //显示来源不为10.1.2.13或者目的不为10.4.15.6的封包

端口过滤

tcp.port == 80			//显示来源或目的TCP端口号为80的封包
tcp.dstport == 80  		//显示目的TCP端口号为80的封包
tcp.srcport == 80,  	//显示来源TCP端口号为80的封包

http模式过滤

http.request.method=="GET"		//只显示HTTP GET方法的数据包

过滤MAC地址/物理地址

ether host 80:16:2a:ce:3f:01 //过滤目标或源地址是80:16:2a:ce:3f:01的数据包
ether dst host 84:f6:2f:ce:3f:00 //过滤目标地址是84:f6:2f:ce:3f:00的数据包
ether src host 40:f6:5e:ce:3f:01 //过滤源地址是40:f6:5e:ce:3f:01的数据包

TCP参数过滤

tcp.flags                       // 显示包含TCP标志的封包。
tcp.flags.syn == 0x02           // 显示包含TCP SYN标志的封包。
tcp.window_size == 0 && tcp.flags.reset != 1

Q&A

Wireshark捕获https数据包

portmap指ONC RPC portmapper协议。仅用于ONC RPC协议(例如NFS,YP和portmapper / rpcbind协议本身)。
HTTP和HTTP-over-SSL / TLS(即“ https”)不使用ONC RPC,尤其不要使用端口映射器。它们运行在TCP之上,因此您需要显示过滤器,例如tcp.port == 443。 (如果您需要捕获过滤器,那么捕获的唯一流量就是去往或来自端口443的流量,port 443将是等效的捕获过滤器。)

水陌轻寒L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump抓包
mayue_web的博客
10-31 2万+
1、简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。 2、tcpdump下载和安装 https://www.cnblogs.com/cip...
【读书笔记《Wireshark网络分析就这么简单》之二】
goto2010的博客
04-16 3084
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
Wireshark抓包过滤
热门推荐
mayue_web的博客
05-07 1万+
简介 Wireshark是windows下的抓包工具。 本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。 Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器 使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的...
Wireshark使用技巧
Fly_鹏程万里
04-16 4893
前言Wireshark是一款图形界面的网络嗅探器,支持多种平台,是网络流量分析的利器。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。最近刚把《Wireshark网络分析就是这么简单》看完,写的很有意思,把一些心得和技巧分享一下,部分内容也也源自个人总结。本文所使用的Wireshark是2.4.0版,可以到官网下载:...
wireshark使用Tips
lvley的博客
09-21 230
1. 监控本机进程间通讯添加路由:route add [本机IP] mask 255.255.255.255[本机网关] metric 1 如: route add 192.168.0.51 mask 255.255.255.255 192.168.0.254 metric 1PS:上述添加的路由,不用时,最好删除,否则所有传输的数据都会转个圈再显示。删除路由: route delete 192.1
Wireshark过滤器tips
予小诺的博客
02-24 504
只显示某域名的连接: http.host==usersync.xl9.xunlei.com 只显示请求方式是POST的连接: http.request.method==POST 只显示IP等于特定值且是http协议的连接: ip.dst==192.168.105.31 and http
Troubleshooting_with_Wireshark_Locate_the_Source_of_Performance_Problems
03-20
This book focuses on the tips and techniques used to identify the symptoms and determine possible causes of lousy network performance using Wireshark, the world's most popular network analyzer.Join ...
wireshark入门
12-09
Welcome to Instant Wireshark Starter. This book has been especially created to provide you with all the information you need to set up ...course, and discover some tips and tricks for using Wireshark.
wireshark-network-analysis第二版
01-12
This book provides insider tips and tricks to spot performance issues fast - no more finger pointing because the packets never lie! From "Death by Database" to "Troubleshooting Time Syncing," 49 case...
wireshark图解、过滤器使用
lgstudyvc的专栏
08-19 3017
------------ wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。   wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,
802.11 wireshark 抓包
又见南风的博客
07-24 1223
本人习惯使用 Omnipeek 抓包分析,所以 wireshark 的实验只讲到抓包完成。Windows 环境采用 wireshark 抓包是比较麻烦的,因为支持在 Windows 环境中支持抓包的网卡并不多,所以本次直接用 Linux 环境来做试验。使用网卡为:RT3070L,70块钱一张的网卡。
WireShark 更改界面主题
最新发布
xchenhao 的博客
07-25 166
WireShark 界面更改为白色主题
[网络通信原理]——TCP/IP模型——物理层
nbdlsplyb的博客
07-23 423
物理层是TCP/IP模型的最底层,它为数据传输提供稳定的物理连接。
packet_write_wait: Connection to <IPportPORT>: Broken pipe
喝醉酒的小白
07-24 325
是一个常见的网络错误,指的是尝试向一个已经损坏的 TCP 连接写入数据。
socket 编程
qq_68915288的博客
07-24 1008
它可以使任何客户端机器连接到任何服务器,安装在客户端和服务器两侧的程序就可以实现双向的通信。Socket的作用就是把连接两个计算机的通信软件“中间接”起来,能够实现远程连接。接收数据一般使用recvfrom,也可以使用read / recv,但是这两个函数只能读取到用户数据,不能获取发送方的网络地址。发送必须使用sendto,因为数据发送前没有连接,告诉socket,要把数据发给谁。accept 在“监听套接字”上,创建一个与客户端的“连接套接字”UDP是传输层的一个协议,面向无连接,数据报的传输层协议。
add_library(qtui OBJECT #Included so that Visual Studio can properly put header files in solution ${WIRESHARK_QT_HEADERS} ${WIRESHARK_WIDGET_HEADERS} ${WIRESHARK_3RD_PARTY_WIDGET_HEADERS} ${WIRESHARK_MANAGER_HEADERS} ${WIRESHARK_UTILS_HEADERS} ${WIRESHARK_MODEL_HEADERS} ${WIRESHARK_QT_NONGENERATED_SRC} # For AUTOUIC and AUTORCC. ${WIRESHARK_QT_UI} ${WIRESHARK_QT_QRC} ${WIRESHARK_QT_TAP_SRC} wireshark-tap-register.c )
06-09
- ${WIRESHARK_QT_HEADERS}:Wireshark Qt 用户界面的头文件 - ${WIRESHARK_WIDGET_HEADERS}:Wireshark Qt 部件的头文件 - ${WIRESHARK_3RD_PARTY_WIDGET_HEADERS}:Wireshark Qt 第三方部件的头文件 - ${WIRESHARK...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值