wireshark数据包过滤详解(二)-未解码字段过滤

最新推荐文章于 2024-06-07 11:57:38 发布
最新推荐文章于 2024-06-07 11:57:38 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: wireshark 5GC信令 文章标签: wireshark 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45617372/article/details/127010911
版权

前面一章讲了常规的数据包过滤方法,本篇介绍下未解码字段过滤方法。

我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流,wireshark会根据码流里的每一层的协议标识先识别出协议,再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。

但是由于一些原因,例如原始包的协议内容被抓断了,以及网络设备之间约定的东西,wireshark没有从头抓起,没有获取到,所以无法识别一些提前约定的东西,尤其对于使用头压缩技术的协议,例如http2协议,这些原因造成wireshark不是总能将原始的码流解码成明文。还有些私有协议,wireshark当然没有标准字段解码依据,也是无法解码的。

上面讲的种种情况下,我们欲过滤自己想要的字段怎么办呢?

文章目录

一,有参考包内容的

1、tcp传输层过滤原始码流

我们可以不必关注上层应用协议是什么,上层的协议的header和data都属于tcp的data部分,所以我们可以通过tcp的data进行过滤我们想要的内容。
在这里插入图片描述
例如这个标记的200ok的数据包里的内容,wireshark就没能具体解码出来,我们将红框的16机制数copy出来:
在这里插入图片描述
0000 7b == 22 76 6

了解本专栏 订阅专栏 解锁全文 超级会员免费看
feike_3
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Wireshark 数据包过滤与分析详解
悦分享
01-03 1282
TShark的另一个有用的功能(也是比Tcpdump先进的功能),是它可以从捕获的文件中生成统计的一个子集。很多这些统计功能在Wireshark中都能找到影子,但是TShark提供了简单的命令方式来进行访问。使用-z参数加上输出的名字可以生成统计信息。你可以使用以下命令查看所有可用的统计:
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
01-07
对于网络监测和分析,Wireshark提供了强大的过滤器功能,可以快速定位特定类型的数据包。例如,你可以使用表达式`tcp.port == 5222`来筛选出所有与端口5222(通常是XMPP协议,微信使用的即时通讯协议之一)交互的TCP...
wireshark过滤规则及过滤数据内容是否包含
01-10 3146
Wireshark 基本语法,基本使用方法,及包过滤规则,如果想在linux上进行抓包,可以使用tcpdump 先保存为cap文件,然后将cap下载到本地使用wireshark打开进行分析例子:或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP上运行的图形窗口截图示例,其他过虑规则操作类似,不再截图。截图示例:提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。
Wireshark抓包日常运维实用过滤
最新发布
weixin_42728126的博客
06-07 769
Wireshark 是一款功能强大的网络分析工具,适用于网络专业人员。它提供了出色的过滤器,您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量,并缩小要查找的数据类型。
wireshark数据包过滤详解(一)
weixin_45617372的博客
09-22 6053
wireshark之所以如此强大,除了支持大量的协议,并持续更新外,还有一个重要功能,就是强大的包分析过滤语法,后面计划用几篇文章从入门到高级的给大家介绍wireshark网络信令分析工具的包过滤技术。
Wireshark通过数据内容过滤数据
AntigravityC的博客
05-30 462
通过tcp端口(包括src和dst)和 数据位0的内容过滤,内容是从Transmission Control Protocol 开始算的双位过滤:第10位开始的双字节。
wireshark 如何解密wifi data packets
sdc20102010的博客
08-09 9453
我们的wifi 数据包如果你不是选的open model 都是加密的, 那莫我们如何利用wireshark 来解密data 包呢? 这里我们简单讲一下。 前提: 你知道wifi 的加密方式,ssid , key。 打开wireshark 开始抓包 一般不太可能网卡要抓包必须支持sniffer mode所以一般都用ominpick 来抓, 然后在连接client。 记住一定要抓到 client 和ap 之间 key 沟通的包。也就是key 四次hand 包。 不然是没办法解密的。 使用wire...
Wireshark 基础使用-过滤并查看抓包数据
wangyx1234的博客
03-06 1万+
wireshark 显示过滤器的使用;使用 wireshark 分析网络的四层通信模型。
wireshark用户手册
03-13
- **协议解析**: Wireshark解码多种网络协议,如TCP/IP、HTTP、FTP等,帮助用户理解数据包的内容。 2. **安装与启动Wireshark** - **下载与安装**: 在官方网站获取最新版本的Wireshark,根据操作系统(Windows...
Tcpdump & Wireshark
06-05
**Tcpdump与Wireshark详解** Tcpdump和Wireshark网络分析领域的两个重要工具,它们主要用于抓取和分析网络报文,对于网络故障排查、性能优化和安全审计具有重要作用。 **Tcpdump** Tcpdump是一款命令行式的网络...
网络数据包抓取和分析工具
10-09
解码是将原始的进制数据转化为可读的格式,通常会显示每个字段的协议层信息;最后,分析阶段是对解码后的数据进行深入解读,识别潜在问题或模式。 Wireshark是一款广受欢迎的网络数据包分析工具,适用于多种操作...
Ethereal使用详解
05-17
3. **数据包详情**:点击任意数据包,可以查看其详细信息,包括源和目的地址、端口、协议字段、负载数据等。 4. **颜色编码**:根据数据包类型和状态,Ethereal会用不同颜色高亮显示,便于快速识别关键信息。 5. **...
(八):应用Wireshark过滤条件抓取特定数据
IT架构师
01-30 1059
(八):应用Wireshark过滤条件抓取特定数据流 原文出处:支持 | Dell 中国 应用抓包过滤,选择Capture | Options,扩展窗口查看到Capture Filter栏。双击选定的接口,如下图所示,弹出Edit Interface Settints窗口。 下图显示了Edit Interface Settings窗口,这里可以设置抓包过滤条件。如果你确知抓包过滤条件的语法,直接在Capture Filter区域输入。在输入错误时,Wireshark通过红色背景区域表明无法处理过滤
Wireshark-数据包过滤和分析
神探
10-18 1万+
[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器,捕捉过滤器和显示过滤器。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark数据流分析day1
XYpangSJ的博客
03-05 497
ctril+f打开搜索框字符串+分组字节流输入flag查找。
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
热门推荐
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用的抓包过滤命令。
Wireshark——过滤器设置
qq_45951891的博客
11-04 9069
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 6319
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

feike_3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值