wireshark 如何去除重复的包_wireshark过滤重复、TCP重传、HTTP握手数据包

最新推荐文章于 2024-05-16 02:38:47 发布
最新推荐文章于 2024-05-16 02:38:47 发布
阅读量7.5k 收藏 22
点赞数
文章标签: wireshark 如何去除重复的包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39820588/article/details/113688433
版权

1、过滤http握手的空报文

使用wireshark打开pcap包,通过条件过滤数据长度为0的包,命令如下:

tcp.len > 0

2、过滤重复数据包

使用cmd命令窗口,进入wireshark安装目录,找到editcap.exe程序。执行editcap.exe -d命令,指定源文件(d:\input.pcap)和目标文件(d:\output.pcap),命令如下:

C:\Program Files\Wireshark>editcap.exe -d d:\input.pcap d:\output.pcap

3、过滤TCP重传数据包

使用wireshark打开pcap包,通过条件过滤tcp.analysis.retransmission的包,命令如下:

http && !(tcp.analysis.retransmission)

4、过滤TCP解析错误数据包

使用wireshark打开pcap包,通过条件过滤TCP重传,乱序,丢包,重复响应的包,命令如下:

tcp.analysis.flags && !tcp.analysis.window_update

5、常规过滤

过滤源ip、目的ip

ip.dst==192.168.101.8 #查找目的地址为192.168.101.8的包

ip.src==1.1.1.1 #查找源地址为1.1.1.1 的包

端口过滤

tcp.port==80 #把源端口和目的端口为80的都过滤出来

tcp.dstport==80 #只过滤目的端口为80的

tcp.srcport==80 #只过滤源端口为80的包

协议过滤

arp #ARP协议

icmp || icmpv6 #ICMP协议

smb || nbss || nbns || nbipx || ipxsap || netbios #Server Message Block类协议

http || tcp.port == 80 || http2 #HTTP协议,这是很简陋的识别方法

tcp.flags & 0x02 || tcp.flags.fin == 1 #TCP连接的起始和关闭报文

hsrp || eigrp || ospf || bgp || cdp || vrrp || carp || gvrp || igmp || ismp #路由类协议

eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1 #条件中的各类协议的checksum异常

! ip.dst == 224.0.0.0/4 && ip.ttl < 5 && !pim) || (ip.dst == 224.0.0.0/24 && ip.dst != 224.0.0.251 && ip.ttl != 1 && !(vrrp || carp) #TTL异常报文

tcp.flags.reset eq 1 #TCP流被RESET报文

icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || icmpv6.type eq 1 || icmpv6.type eq 2 || icmpv6.type eq 3 || icmpv6.type eq 4 #ICMP协议错误,协议的type字段值错误报文

http模式过滤

http.request.method=="GET" #过滤get请求的包

http.request.method=="POST" #过滤post请求的包

两个过滤条件连接符and的使用

ip.src==192.168.101.8 and http #过滤ip为192.168.101.8并且为http协议

weixin_39820588
关注
  • 0
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark 如何去除重复_Wireshark使用小技巧
weixin_42309456的博客
12-31 3034
阅读:10,371Wireshark它是一款功能强大的网络抓分析工具,大家对他并不陌生,可能工作中每天都会用,用它来排查故障、分析攻击类型等,可以更快理解和发现问题,下面来让绿盟君介绍一下wireshark的几个使用小技巧。1、TCP流绘制为了便于理解在整个TCP会话期间,TCP 的Seq号和Ack号的工作过程,可使用Wireshark的绘制流功能,选择菜单栏中的 Statistics -&gt...
wireshark重复进行过滤
junqingdao的专栏
07-02 1万+
工作中
wiresharktcpdump常用命令--去重、抓过滤
buzhaodi2的博客
12-15 3245
1、tcpdump抓去重 editcap -d 123.pcap filter.pcap 其中 123.pcap是要去重的,filter.pcap是输出的去重之后的 2、过滤sip消息 1、过滤所有invite的响应消息 tshark -r quchong.pcap -Y "sip.CSeq.method eq INVITE" -w gliu.pcap 2、过滤所有sip消息 tshark -r quchong.pcap -Y "sip" -w gliu.pcap 3、查看所有rt
深入解析Wireshark2:过滤器与TCP三次握手分析
最新发布
软件测试与IT探索
05-16 1110
本博客深入探讨了Wireshark这一强大的网络分析工具,从捕获过滤器到显示过滤器的设置与应用,再到针对数据链路层、网络层、传输层、应用层等各个网络层次的常见显示过滤需求,提供了详尽的过滤表达式和操作步骤。此外,博客还介绍了如何利用Wireshark分析TCP三次握手过程及TCP数据包,帮助读者更好地理解网络协议和数据传输过程。无论是网络工程师、安全分析师还是系统管理员,都能从这篇博客中获得实用的Wireshark使用技巧和网络分析知识。
Wireshark过滤TCP重传数据包
Joseph_ChiRunningAnt的博客
08-13 1万+
Wireshark过滤TCP重传数据包 1. TCP Retransmission数据包是由于通讯超时产生的重传数据包,在网络性能差的情况下经常会看到这类数据包。因而使用Wireshark即可过滤或者显示这类数据包。 2. 先显示TCP重传数据包 wireshark命令tcp.analysis.retransmission可以看到如下图 都是TCP重传数据包。 3. 过滤...
Wireshark——过滤器设置
qq_45951891的博客
11-04 8646
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
【网络安全】Wireshark过滤数据包&分析TCP三次握手
九芒星的博客
01-30 6744
wireshark是一个网络封分析软件,它可以撷取网络封,并尽可能显示出最为详细的网络封信息,本次我们以抓取WLAN数据包为例,演示网络中数据包传输的过程。
WinPcap编程【5】不用回调方法捕获数据包
B_Silence
07-22 1109
本讲的范例程序所实现的功能和效果和上一讲的非常相似 (打开适配器并捕获数据包), 但本讲将用 pcap_next_ex() 函数代替上一讲的 pcap_loop()函数。 pcap_loop()函数是基于回调的原理来进行数据捕获,这是一种精妙的方法,并且在某些场合中,它是一种很好的选择。 然而,处理回调有时候并不实用 -- 它会增加程序的复杂度,特别是在拥有多线程的C++程序中。 可以
VoIP之Wireshark使用
szkbsgy的专栏
05-08 2774
Wireshark是网络协议分析必不可少的工具软件,熟练使用wireshark能在网络软件问题分析中起到事半功倍的效果。在VoIP领域中,Wireshark软件也是不可缺少的。无论是SIP协议分析、音视频问题定位、或是项目安装部署问题排查,都有它的一席之地。本文从以下几个方面介绍Wireshark在VoIP领域中的应用。 一、报文过滤 一般抓到的报文中都含大量其它协议的网络,为了更好的分析问题,需要输入合适的过滤条件。实际分析中过滤条件有以下几种: SIP 最常用的过滤条件 SIP+RT
wireshark录制 UDP 数据分分片重组
三维点云技术探索
06-11 1745
个人公众号“代码就是生产力”,发布更多有用的工具 对于UDP来说,如果发现数据过大,那么 IP 层会自动对数据进行切割,分片,但是通常应用层我们不会发现有什么影响,因为已经自动合并了分片数据,但是如果是使用 wireshark 录制的数据,就会出现数据分片了,但是没有重组的情况,这个时候,需要我们手动对数据进行一个重组,类似如下的情况: 可以看到,一个数据被分成了8个数据分片,但是他们的ID是一样的,然后有不同的offset,那么我们就可以根据这两个特性,把每组的分片重组起来。 仅仅使用 dpkt 工具即可
TCP.rar_tcp_tcp _tcp协议_tcp数据包发送_发送tcp数据包
09-24
TCP(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,是互联网...在实际操作中,可以通过抓工具如Wireshark来观察TCP数据包的发送和接收过程,更深入地理解TCP协议的运作。
数据包工具
07-17
针对多个数据包进行 合并、去重、切割、相减等各种操作
Wireshark_TCP_Sept_15_2009.zip_wireshark
09-20
7. **Wireshark使用技巧**:提供如何使用Wireshark过滤、显示过滤器、追踪TCP流、解码和分析数据包的具体步骤。 8. **案例研究**:可能含一个或多个实际网络问题的案例,展示如何利用Wireshark捕获和分析TCP...
wireshark分析tcp三次握手四次挥手详解及网络命令
06-08
该文档详细描述了wireshark分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
Wireshark分析微信功能----tcp/ip选修课期末大作业
01-07
**TCP/IP通信协议详解与Wireshark分析** 在信息技术领域,TCP/IP通信协议是互联网上数据交换的基础。TCP(传输控制协议)和IP(因特网协议)是这个协议族中的两个核心组件,负责确保数据的可靠传输和网络寻址。...
Wireshark协议分析tcp之三次挥手和四次挥手数据包.zip
03-13
Wireshark中,通过打开`tcp_3handshake.pcapng`文件,我们可以看到这三个步骤对应的TCP段,每个段的详细信息如源/目标IP地址、端口号以及TCP头中的标志位等,帮助我们理解握手的过程。 接下来,我们讨论TCP的四次...
Wireshark及常用过滤方法
热门推荐
liu_yanxiaobai的博客
05-24 2万+
一、抓 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
Wireshark(四):网络性能排查之TCP重传重复ACK
diaohubie5623的博客
07-09 3099
原文出处: EMC中文支持论坛 作为网络管理员,很多时间必然会耗费在修复慢速服务器和其他终端。但用户感到网络运行缓慢并不意味着就是网络问题。 解决网络性能问题,首先从TCP错误恢复功能(TCP重传重复ACK)和流控功能说起。之后阐述如何发现网络慢速之源。最后,对网络各组成部分上的数据流进行概况分析。这几张内容将会帮助读者识别,诊断,以及排查慢速网络。 更多信息 接下来的内...
WireShark使用.pdf
12-31
WireShark是一款功能强大的开源数据包与分析工具。它可以捕获各种网络数据包,并提供详细的网络数据包信息,是网络安全与取证分析中不可或缺的工具。 WireShark的使用需要注意几个方面。首先,它可以获取HTTP和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值