Wireshark使用教程(一)——过滤器的使用

最新推荐文章于 2024-05-27 18:58:22 发布
最新推荐文章于 2024-05-27 18:58:22 发布
阅读量6.7k 收藏 15
点赞数 10
分类专栏: wireshark 文章标签: wireshark 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45728716/article/details/104331886
版权

Wireshark过滤器的使用教程

Wireshark过滤器的使用

一、捕获过滤器

常用语法

  1. 类型:host port;
  2. 方向:src dst ;
  3. 协议:ether arp ip tcp udp icmp;
  4. 逻辑运算符: &&(与)、|| (或) 、 !(非);

举例说明

  1. src host 192.168.1.1 || dst port 443 (抓取源IP为192.168.1.1或者目标端口为443的数据包。)
  2. dst host 192.168.1.1 && dst port 80 (抓取目标IP为192.168.1.1并且目标端口为80的数据包。)
  3. ! host 192.168.1.1 (不抓取源、目IP为192.168.1.1的数据包)

实验演示

  1. 抓取源ip为192.168.43.126的数据包
    在这里插入图片描述
    点击开始之后会发现所抓取的数据包只有源ip为192.168.43.126 的数据包
    在这里插入图片描述
  2. 抓取关于本机Mac地址的数据包、因为我连的是无线网所以勾选WLAN
    在这里插入图片描述
    点击开始之后就会发现当前只抓取了源Mac为 ac:b5:7d:e2:a9:81
    在这里插入图片描述
  3. 抓取80端口的数据包并且源IP是192.168.43.126
    在这里插入图片描述
    点击开始之后就会发现只抓取了源IP是192.168.43.126并且目标端口是80的数据包
    在这里插入图片描述

二、显示过滤器

常用语法

  1. 比较操作符:
    == 等于
    != 不等于
    > 大于
    < 小于
    >= 大于等于
    <= 小于等于
  2. 逻辑操作符:
    and:两个条件通顺满足
    or :两个条件满足其中一个
    xor:有且只有其中一个条件满足
    not:没有条件被满足
  3. IP地址:ip.addr、ip.src、ip.dst
  4. 端口过滤: tcp.port 、tcp.srcport、 tcp.dstport、tcp.flags.syn/ack…
  5. 协议过滤:tcp 、ip 、icmp 、arp 、http 、dns 、bootp(dhcp) …

实验演示

  1. 过滤ICMP数据包
    在这里插入图片描述
  2. 抓取http或者dns数据包
    在这里插入图片描述
  3. 抓取tcp或者udp的80端口的流量在这里插入图片描述
  4. 抓取三次握手的流量
    tcp.flags.syn == 1 or tcp.flags.ack == 1
    在这里插入图片描述
Geffke
关注
  • 10
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【wrieshark】过滤器
青火
08-15 988
test
Wireshark应用
00's Blog
01-03 2715
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 3万+
WireShark 捕获过滤器的超全使用教程
Wireshark有哪些常用的过滤器
最新发布
weixin_45778311的博客
05-27 738
Wireshark提供了强大的过滤功能,允许用户根据各种标准筛选和缩小捕获的数据包范围。
Wireshark过滤
GY_1202的博客
06-10 6006
wireshark两种数据过滤方式:捕获过滤器、显示过滤器
Wireshark 过滤器使用
LLinslemon的博客
08-16 8987
Wireshark 使用手册
使用手机热点安装并配置树莓派(无屏无网线)
SavenNeer的博客
03-16 2690
下面这些操作步骤将说明如何使用树莓派 虽然写的文章长,但是真正的操作没多少, 大部分都是详细的说明,尽量降低那些低年龄读者的阅读困难。 工具 树莓派 电源 读卡器 TF内存卡 可以开热点的手机 软件工具 Win10操作系统 树莓派官方的Imager VNCviewer 如果Win10-cmd没有安装ssh功能 可以使用其他的ssh工具 基本思路 借助手机的热点和一台Win10笔记本完成树莓派的配置 步骤 烧录系统 1、给TF内存卡用Imager刷系统 这里默认使用官方的系统 2、打开树莓派的boot根目录并
Wireshark使用教程用户手册
11-06
通过本教程,你将掌握Wireshark的基本操作,包括设置捕获过滤器、分析数据包、使用显示过滤器、跟踪流以及利用其高级特性进行网络故障排查。无论是网络管理员、开发者还是网络安全专业人士,Wireshark都是不可或缺的...
wireshark3.0.0——1.zip
09-18
这包括改进的色彩方案,使得数据包列表更容易阅读,以及新的过滤器栏,使得快速搜索和应用过滤器更为便捷。此外,此版本还支持自定义布局,用户可以根据工作需求调整和保存视图配置。 在性能提升方面,Wireshark ...
Wireshark视频教程.zip
05-24
1.5 如何设置抓包过滤器 1.6 如何设置展示过滤器 1.7 抓包的其他设置项 1.8 如何具体分析单个数据包 1.9 分析时的快捷菜单——第一栏 1.10 分析时的快捷菜单——第二三栏 1.11 其他菜单内容 1.12 统计分析菜单功能 ...
WireShark抓包工具使用流程.pdf
09-28
如果正在尝试分析问题,可以使用过滤器来减少流量。最基本的方式就是在窗口顶端过滤栏输入并点击 Apply(或按下回车)。例如,输入“dns”就会只看到 DNS 报文。 创建新的过滤条件 也可以点击 Analyze 菜单并选择 ...
Sniffer工具使用实验报告.doc
06-24
实验过程与分析:首先启动Wireshark,设置过滤器抓取ICMP包,然后进行ping操作。分析捕获的包,查看源IP、目标IP、序列号、校验和等关键信息,验证ping的正常流程。 2. 实验2:捕获内网发往外网的重要数据 实验要求...
Wireshark——过滤器设置
qq_45951891的博客
11-04 8822
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤器使用
yshuqian1的博客
07-06 896
wireshar是一种常用的网络抓包工具,安全分析人员可以根据其抓获的流量包进行流量分析,进而分析出系统可能面临的流量威胁,对进一步的安全防护具有重要作用。如下图。
Wireshark教程:显示过滤器表达式
nuan444979的博客
09-22 4923
Wireshark显示过滤器表达式
Wireshark-数据包过滤和分析
神探
10-18 1万+
[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器,捕捉过滤器和显示过滤器。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
wireshark过滤器的简单介绍
techenliu的博客
10-17 475
wireshark过滤器的简单介绍
Wireshark 跟踪TCP流
hbspring007的专栏
06-05 6794
打开捕获文件;在一个协议为TCP的包上右击,选择 追踪流-TCP;将进入TCP流追踪;   选择该菜单后,主面板上包列表里,仅列出本次TCP会话的包; 同时会在一个单独的窗口中显示TCP流; 看一下基本是乱码;大体能看出,是http1.1协议;是本机和百度的一个网址通信的情况; 红色是源到目的地;蓝色反之; 先看一下;需要详细解析的时候再说吧;   看一下本次会话最后一个包; eclick.e.shifen.com https(443) [ACK]
ARP协议全面实战手册1.1.2设置过滤器
大学霸__IT达人
10-28 1236
ARP协议全面实战手册1.1.2设置过滤器 如果使用Wireshark捕获数据包时,默认捕获所有协议的数据包。如果接收到的数据包过多时,想要查看自己想看的数据包,可能非常困难。幸运的是,Wireshark工具可以通过创建过滤器的方式,实现数据包过滤。下面将介绍Wireshark工具的过滤器使用规则。本文选自《ARP协议全面实战手册——协议详解、攻击与防御》 在Wireshark工具中提供了两种
wireshark过滤器使用
11-25
以下是Wireshark过滤器使用方法: 1. 在过滤器栏中输入过滤器表达式,例如:ip.addr == 8.8.8.8 2. 按下Enter键或点击过滤器栏旁边的Apply按钮,Wireshark将只显示符合过滤器表达式的数据包。 3. 可以使用逻辑运算符AND(&&)和OR(||)来组合多个过滤器表达式,例如:ip.src == 8.8.8.8 && ip.dst == 8.8.8.8 4. 可以使用括号来分组过滤器表达式,例如:(ip.addr == 8.8.8.8 || ip.addr == 10.0.0.0/16) && tcp.port == 80 5. 可以使用Wireshark的自动完成功能来快速输入过滤器表达式,只需输入过滤器表达式的一部分,然后按下Ctrl+空格键即可。 6. 可以使用Wireshark的预定义过滤器来快速过滤数据包,例如:http.response.code == 500 7. 可以使用Wireshark的显示过滤器来隐藏不想要显示的数据包,例如:http.response.code < 500

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值