Wiresahrk抓包过滤技术

最新推荐文章于 2022-03-21 19:29:10 发布
最新推荐文章于 2022-03-21 19:29:10 发布
阅读量101 收藏
点赞数
文章标签: 网络 操作系统 运维
原文链接:https://yq.aliyun.com/articles/497014
版权

一、抓包过滤器

捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置
显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改


捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录


语法:    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression
例子:       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

协议:ether、 ip、arp、 rarp、tcp and udp等没有特别指明什么协议,默认抓取所有协议
方向:src、dst、 src and dst(没有特别指明源或目的地,默认为 “src or dst” 作为关键字

类型:net、 port、host、portrange(没有指定此值,默认使用”host”关键字
逻辑运算符:not非!、 and与||、 or或&&

src portrange 2000-2500显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包

抓包过滤器操作步骤

wKioL1kgIEmTiwvdAAUZv4A3mDU187.jpg

wKioL1kgIFuAb8fhAAIcGqTnN5U075.jpg

wKiom1kgIF7SywBYAAMBI-ZoL_s603.jpg


二、流量不大的时候使用显示过滤器

语法:    Protocol.String 1.String 2 Comparisonoperator    Value    LogicalOperations  
例子:    ip.src.addr             ==        10.1.1.1    and   

==等于
!=不等于
>=大于等于
<=小于等于
and两个条件同时满足
or其中一个条件被满足
not没有条件被满足

IP地址:ip.addr、ip.src、ip.dst
端口过滤:tcp.port、tcp.srcport、tcp.flag.syn

显示过滤器操作步骤

wKioL1kgJI7B7DKBAALHoHCmby8573.jpg

wKioL1kgJJfwlzerAAKvT0kTmeg278.jpg

如果不熟悉表达式

123.jpg

1、过滤端口
tcp.port == 80 #不管端口是来源的还是目标的都显示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只显tcp协议的目标端口80
tcp.srcport == 80 #只显tcp协议的来源端口80
tcp.port >= 1 and tcp.port <= 80 #过滤端口范围

2、过滤MAC
太以网头过滤
eth.dst == E4:D5:3D:A2:64:95 #过滤目标MAC
eth.src eq E4:D5:3D:A2:64:95 #过滤来源MAC
eth.addr eq E4:D5:3D:A2:64:95 #过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC

3、过滤IP
ip.src == 192.168.0.104 过滤ip为192.168.0.104

4、包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
eth —> ip or arp —> tcp or udp —> data

5、http模式过滤
http.request.method == GET
http.request.method == POST
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

6、DHCP
以寻找伪造DHCP服务器为例,在显示过滤器中加入过滤规则,
显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack/NAK)的信息:
bootp.type==0x02 and not ip.src==192.168.1.1


7、查看DNS流量

dns.flags==0x0100

https://wiki.wireshark.org/CaptureFilters


Network monitor:通过一个内建程序来执行的网络分析器(该程序在操作系统安装盘的“administrator Tool”文件夹中,但它不是默认安装的,因此需要从安装盘中添加安装)

QQ文件无法访问
1、通过Network monitor获取到软件的交互数据IP和端口范围
(此Network monitor类似wireshark抓包工具)
2、将数据包导入到wireshark里面进行分析
3、通过IP和端口等条件对数据包进行过滤
4、根据数据流,对数据流进行分析











本文转自 周小玉 51CTO博客,原文链接:http://blog.51cto.com/maguangjie/1927813,如需转载请自行联系原作者
weixin_33768481
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark过滤语法总结
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
RTMP协议详解及Wiresahrk抓包分析
明天你好的博客
11-08 2689
本文主要讲解 RTMP 协议,并通过 wireshark 对 RTMP 进行抓包并分析。RTMP 是 Real Time Messaging Protocol( 实时消息传输协议) 的首字母缩写。该协议基于 TCP,是一个协议族,包括 RTMP 基本协议及 RTMPT/RTMPS/RTMPE 等多种变种。RTMP 是一种设计用来进行实时数据通信的网络协议,主要用来在 Flash/AIR 平台和支持 RTMP 协议的流媒体/交互服务器之间进行音视频和数据通信。
Wireshark网络封包分析工具介绍+过滤器表达式语法
张维鹏的博客
10-28 7379
目录: 一、WireShark界面说明: 1、开始捕捉界面: 2、捕捉结果界面: 3、着色规则: 二、捕捉过滤器: 1、捕捉过滤器表达式: 2、捕捉过滤器语法: 三、显示过滤器: 1、基本过滤表达式: 2、复合过滤表达示: 3、常见用显示过滤需求及其对应表达式: WireShark安装,安装非常简单,处理安装路径自定义之外,其他都直接点下一步。 一、WireShark界面......
python调用tcpdump抓包过滤的方法
09-20
本文将详细讲解如何使用Python调用tcpdump进行抓包过滤,并提供了一个简单的示例代码。 tcpdump是一个强大的网络封包分析软件,它可以实时捕获网络中的数据包并进行分析。在Python中调用tcpdump,主要是通过`...
CAN抓包工具.rar
06-14
CAN抓包工具是专门用于捕获和分析CAN总线上的数据流的软件工具,它可以帮助工程师了解网络通信情况,诊断故障,进行系统调试。本篇文章将详细探讨CAN抓包工具的原理、功能、常见应用及如何使用。 一、CAN抓包工具的...
Ethereal抓包常用过滤条件
11-10
Ethereal抓包常用过滤条件 捕获到数据包后,主页面将显示这些包的信息,如果所抓的数据包太繁杂而不方便观察和分析,则可以在主页面的过滤栏中输入显示过滤条件,这样主页面的概要栏、协议栏和数据栏中就只显示满足...
C# 实现 http协议抓包
04-25
根据http协议完善的抓包源码,代码通俗易懂,适合初学者入手
科莱,抓包网络安全,渗透
最新发布
01-04
抓包(Packet Capture)是网络诊断和安全分析的基础技术,它记录网络中的数据包以便后续分析。Wireshark支持多种协议,包括TCP/IP、HTTP、FTP等,能实时显示网络通信的每一个细节。用户可以通过过滤器来关注特定的...
WireSahrk 过滤命令总结
逆旅行人的博客
03-21 1万+
WireSahrk 过滤命令
个人收集的一些网页上一键云DDOS攻击的网站、IP地址测试,服务器压力测试
djph26741的博客
03-29 5277
#1 - Network Stresser -http://networkstresser.com#2 - Lifetime Booter -http://lifetimeboot.com#3 - Power Stresser -http://powerstresser.com#4 - Dark Booter -http://darkbooter.com#5 -...
网关抓包记录
weixin_34289454的博客
10-30 1403
2019独角兽企业重金招聘Python工程师标准>>> ...
Wireshark1.12.3的使用(抓包过滤器)及遇到的问题解决
热门推荐
蛰伏--当你不够强大时,就不要放弃努力
05-11 1万+
the capture session could not be initiated on interface"\Device\NPF_(78032B7E-4968-42D3-9F37-287EA86C0AAA)" (failed to set hardware filter to promiscuous mode). please check to make sure you have sufficient permissions and that you have the proper inter..
Wireshark 抓包MySQL的查询语句
httpnet的专栏
04-11 9415
过滤器条件 mysql.query contains "SELECT" ........ MySQL Protocol    Packet Length: 168    Packet Number: 0    Command        Command: Query (3)        Statement: EXPLAIN SELECT
基于netfilter的tcp网络包的过滤与…
caoshunxin01的专栏
02-23 2828
基于netfilter的tcp网络包的过滤与修改(修正版) 转自http://hi.baidu.com/widebright/item/0c6c94b44e749c9619469784 一直对公司封掉mp3文件的下载耿耿于怀,上次写的那个netfilter驱动还是有点问题,修改后的后续tcp网络包的序号还是有问题。最近有空,仔细看了下内核里面的代码,结合别人你的代码研究一下。更正如下,改正
Wireshark理解粘包和粘包
ycxzz的博客
02-13 1021
这里写目录标题前言TCP可靠传输的建立定义利用工具查看二级目录三级目录 前言 通过之前的学习,我们知道基于传输层开发通讯程序,会出现粘包和粘包,所以今天通过Wireshark抓包工具来看看具体的传输内容。 TCP可靠传输的建立 定义 一开始主机A和主机B 处于close(关闭)状态,然后B的TCP服务器进程先创建传输控制块(TCP),处于LISTEN状态来监听客户机A的连接。 三次握手的大概流程 A的TCP客户进程也是首先创建传输控制块TCB,然后打算建立TCP连接时,向B发送请求报文段,这时候首部的同
Wireshark抓包工具过滤与分析技巧详解
"这篇文档是关于抓包工具的使用技巧集锦,主要涵盖了如何通过过滤表达式筛选包文,包括基于MAC地址、IP地址、协议、包大小、包顺序以及特定字符的过滤方法。此外,还介绍了如何混合使用多个过滤规则以满足复杂的需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值