BPF过滤语法

最新推荐文章于 2022-10-08 23:42:06 发布
最新推荐文章于 2022-10-08 23:42:06 发布
阅读量834 收藏 5
点赞数
原文链接:https://blog.csdn.net/qq_43665434/article/details/109400109
版权

Wireshark抓包过滤器语法设置

1. 抓包过滤器

BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用)

1.1 语法说明

类型Type: host、net、port
方向Dir: src、dst
协议Proto: ether、ip、tcp、udp、http、ftp
逻辑运算符: &&与、||或、!非

1.2 例子

src host 192.168.1.1 && dst port 80 抓取源地址为192.168.1.1,目的端口为80的流量
host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1和192.168.1.2的流量
!broadcast 不要抓广播包
过滤MAC地址案例

ether host 00:88:ca:86:f8:od
ether src host 00:88:ca:86:f8:od
ether dst host 00:88:ca:86:f8:od
过滤IP地址案例

host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
过滤端口案例

port 80
! port 80
dst port 80
src port 80
过滤协议案例

arp
icmp
综合过滤案例

host 192.168.1.1 && port 8080

2. 显示过滤器

抓包的时候没有做任何过滤,抓完包后过滤,抓包过滤器语法与显示过滤器语法是不一样的。只需要研究某一种协议,不需要全局流量的,可以使用抓包过滤器。在流量很小的时候建议使用显示过滤器。

2.1 语法说明

比较操作符

支持==、!=、<、>、>=、=等

==    eq   等于   ip.addr == 192.168.0.1  ip.addr eq 192.168.0.1      

!=     ne   不等于 !ip.addr==192.168.0.1 ip.addr!= 192.168.0.1 ip.addr ne 192.168.0.1      

>      gt   大于    frame.len>64  frame.len gt 64      

<      lt   小于   frame.len<1500 frame.len le 1500      

>=    ge   不大于 frame.len >= 64      

<=     le   不小于 frame.len <= 1500          

 is   present 符合某项参数,满足某个条件,或者出现某个现象 http.response          

contains 包含某个字符串   http.host contains cisco            

match   某串字符匹配某个条件 http.host matches www.cicso.com  逻辑关系操作符

逻辑操作符

&&  and  逻辑与  ip.src==10.0.0.1 and tcp.flags.syn=1    

||  or  逻辑或 ip.addr==10.0.0.1 or ip.addr==10.0.0.2    

 !  not  逻辑非 not arp and not icmp 除了arp和icmp之外的包  

ip.addr != 192.168.0.1 这样的表达式语法正确但是并不起作用,原因是每个IP数据包必定包含两个IP地址,wireshark执行上边的过滤功能时,只要发现源和目的IP有一不为192.168.0.1,就会判定条件为真,正确的应该是 !(ip.addr eq 192.168.0.1)

IP地址

ip.addr、ip.src、ip.dst

端口过滤

tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack

协议过滤

arp、ip、icmp、udp、tcp、bootp、dns

2.2 示例

过滤IP地址案例

ip.addr == 192.168.1.1
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
过滤端口案例

tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flags.syn == 1
过滤协议案例

tcp
not http
not arp
综合过滤案例

ip.src == 192.168.1.100 and udp.port == 4000

WireShark出现的常见提示

TCP Out_of_Order的原因分析:
一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的电脑上面。
TCP Retransmission原因分析:
很明显是上面的超时引发的数据重传。
TCP dup ack XXX#X原因分析:
就是重复应答#前的表示报文到哪个序号丢失,#后面的是表示第几次丢失。
tcp previous segment not captured原因分析
意思就是报文没有捕捉到,出现报文的丢失。
其他规则:https://www.cnblogs.com/strick/p/6261463.html

链接:https://blog.csdn.net/chenfengdejuanlian/article/details/53761004

狮子QH
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。本文档为BPF语法介绍。
Berkeley Packet Filter (BPF)语法
最新发布
zengliguang的专栏
06-16 311
通过组合这些元素,可以构建复杂的过滤表达式来精确地筛选出符合特定条件的数据包。BPF 语法通常用于网络监控、数据包分析和安全审计等领域。不同的网络工具和应用程序可能会对 BPF 语法有略微不同的支持和扩展,因此在具体使用时,可能需要参考相应的文档和工具的说明。Berkeley Packet Filter(BPF语法是一种用于网络数据包过滤的表达式语法。它由一些基本元素组成,包括类型(Type)、方向(Direction)、协议(Protocol)和逻辑运算符。
BPF表达式
John的博客
03-17 2771
BPF(Berkeley Packet Filters)是一个强大的网络分析工具,通过指定过滤条件,BPF过滤器可以极大的减少捕获的数据包,tcpdump和wireshark都支持BPF过滤器。 BPF表达式 BPF表达式由一个或者多个原语(primitives)组成。 [not] primitive [and|or [not] primitive …] 原语(primitive) 原语由标识符(Identifiers), 以及描述它的多个限定词(qualifiers)组成。 qualifier Id
Linux tcpdump命令详解
weixin_34008784的博客
01-14 1744
  史上最好用的免费SVN空间   简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   实用命令实...
BPF Performance Tools.zip
01-06
BPF是一种内置于Linux内核的虚拟机,最初用于网络数据包过滤,但随着时间的发展,它已经演变为一个强大的工具集,能够安全地注入代码到内核,用于系统监控、性能分析以及各种自定义的用途。 BPF的核心功能是允许...
bpfcountd:一个使用 bpf(伯克利数据包过滤器)监控网络流量的小守护进程
05-29
这些规则是使用 tcpdump 过滤语法 ( ) 定义的。 收集的数据以明文形式在unix套接字上提供。 依赖关系 libpcap 支持的平台 经测试: Arch Linux Debian 应该在没有特别注意的情况下工作: 任何基于 systemd 的 ...
gostat:没有人要求的X状态栏-它显示来自bpf和psi接口的内核状态
02-07
【gostat:没有人要求的X状态栏-它显示来自bpf和psi接口的内核状态】 `gostat` 是一个用 Go 语言编写的工具,它在 X 状态栏上显示来自 eBPF(扩展Berkeley包过滤器)和 PSI(性能统计接口)的数据。这个工具的独特...
使用winpcap对报文进行过滤
05-23
这种过滤机制基于BPF(Berkeley Packet Filter)语法,这是一种强大的、高效的过滤语言,可以实现复杂的过滤表达式。 要实现过滤功能,你需要在代码中引入`packet2.h`等头文件。`packet2.h`可能是WinPcap库中的一个...
BPF过滤规则
补丁_1024的博客
09-23 2161
概述 伯克利包过滤器(Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。除此之外,如果网卡驱动支持混杂模式,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从操作系统内核向用户态复制其他对用户态程序无用的数据包,从而极大地提高性能。 BPF简介 多年前很多程序,例如网络监控器,都
bpf数据包过滤用例
12-24
bpf过滤相关实现,实现pcap文件的数据包过滤,该例子只使用与过滤,不做包分析
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4451
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
网络安全系列-二十二: BPF网络包过滤机制详解
penriver的博客
04-30 2624
BPF 一种抓取并过滤网络数据包(capture and filter packet)的内核结构(kernel architecture)。BPF包含2个重要的组成部分:网络分流器(network tap)和包过滤器(packet filter)。网络分流器负责从网络驱动拷贝数据包,而包过滤器则过滤掉不符合条件的数据包,只把符合需求的数据包上报给应用程序。 基本上所有的抓包工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPFBPF的设计及设计约束,最后
《TCP/IP详解卷2:实现》笔记--BPF:BSD 分组过滤程序
TODD911的专栏
01-12 3393
BSD分组过滤程序(BPF)是一种软件设备,用于过滤网络接口的数据流,即给网络接口加上开关。应用进程打开/dev/bpf0、 /dev/bpf1等等后,可以读取BPF设备,每个应用进程一次只能打开一个BPF设备。 通过若干ioctl命令,可以配置BPF设备,把它与某个网络接口相关联,并安装过滤程序,从而能够选择性地接收输入的分组。 BPF设备打开后,应用进程通过读写设备来接收分组,或将分组放
BPF( 伯克利数据包过滤器 ) Performance Tools》 第五章 bpftrace
weixin_55255438的博客
10-08 1585
bpftrace是一款基于BPF和BCC的开源跟踪器。和BCC一样,bpftrace自带了许多性能工具和支持文档。它同时还提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。比如,下面的单行程序以直方图形式统计vfs_read() 的返回值(读取的字节数或错误码) :Alastair Robertson阿拉斯泰尔·罗伯逊Alastair Robertson于2016年12月创建了bpftrace, 当时它还只是一个业余项目。
Wireshark的两种过滤器与BPF过滤规则
海阔天空
07-14 2341
Wirshark使用的关键就在于过滤出想要的数据包,下面介绍怎么过滤。 抓包过滤器 Wirshark有两种过滤器,一个是抓包过滤器,一个是显示过滤器,他们之间的区别在于抓包过滤器只抓取你设置的规则,同时丢弃其他信息,显示过滤器并不会丢弃信息,只是将不符合规则的数据隐藏起来而已。有时候一旦数据包被丢弃,这些数据包就无法在恢复回来。还有一个区别就是,捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 两种过滤器的目的也是不同的: 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,
【转】BPF详解
热门推荐
mrhesongze的博客
09-25 1万+
原文地址:https://linux.cn/article-9507-1.html 什么是 BPF? BPF,及伯克利包过滤器BerkeleyPacketFilter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核...
伯克利包过滤 (学生版笔记)
qq_45650527的博客
05-24 447
本文章介绍的是 本菜自学wireshark时候的笔记 话不多说直接上图 准备好 开始 放大招 伯克利包过滤 英称(Berkeley packet filter) 额英文 采用一种与自然语言相近的语法 利用语法构造字符串确定保留具体符合规则的数据包 而忽略其他数据包 通俗一点就是 用语法构建一个字符串, 来代替表示 一种协议 代替要筛选的内容 (为什么要用这个 不要问 问就是事实就在用!)从而简化表示的方法(次要) 实现具体确定要保留那些协议 那些规则的数据包(主要) 并且 BP
libpcap BPF语法
02-01
libpcap是一个用于网络数据包捕获的库,而BPF(Berkeley Packet Filter)是一种过滤器语言,用于在捕获的数据包中进行过滤和选择。BPF语法用于定义过滤规则,以便只捕获满足特定条件的数据包。 BPF语法支持以下类型的过滤规则: 1. 主机地址过滤:可以使用源地址或目标地址来过滤数据包。例如,`host 192.168.0.1`将只捕获源地址或目标地址为192.168.0.1的数据包。 2. 网络地址过滤:可以使用网络地址和子网掩码来过滤数据包。例如,`net 192.168.0.0/24`将只捕获属于192.168.0.0/24网络的数据包。 3. 端口过滤:可以使用源端口或目标端口来过滤数据包。例如,`port 80`将只捕获源端口或目标端口为80的数据包。 4. 协议过滤:可以使用协议类型来过滤数据包。例如,`tcp`将只捕获TCP协议的数据包。 5. 组合过滤:可以使用逻辑运算符(如and、or、not)将多个过滤条件组合起来。例如,`tcp and port 80`将只捕获TCP协议且源端口或目标端口为80的数据包。 除了上述基本过滤规则外,BPF语法还支持其他高级功能,如比较运算符、位运算符、算术运算符等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值