wireshark过滤器

最新推荐文章于 2024-08-03 17:09:48 发布
最新推荐文章于 2024-08-03 17:09:48 发布
阅读量473 收藏
点赞数
文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46821140/article/details/125510638
版权

1、几种条件操作符

==   eq    等于    ip.addr == 192.168.0.1   ip.addr eq 192.168.0.1

!=    ne    不等于  !ip.addr==192.168.0.1 ip.addr!= 192.168.0.1  ip.addr ne 192.168.0.1

>     gt    大于     frame.len>64   frame.len gt 64

<     lt    小于    frame.len<1500  frame.len le 1500

>=    ge    不大于  frame.len >= 64

<=    le    不小于  frame.len <= 1500

is present  符合某项参数,满足某个条件,或者出现某个现象  http.response

contains  包含某个字符串    http.host contains cisco

match    某串字符匹配某个条件  http.host matches www.cicso.com

逻辑关系操作符

&&   and   逻辑与   ip.src==10.0.0.1 and tcp.flags.syn=1

||   or   逻辑或  ip.addr==10.0.0.1 or ip.addr==10.0.0.2

!   not  逻辑非  not arp and not icmp 除了arp和icmp之外的包

ip.addr != 192.168.0.1 这样的表达式语法正确但是并不起作用,原因是每个IP数据包必定包含两个IP地址,wireshark执行上边的过滤功能时,只要发现源和目的IP有一不为192.168.0.1,就会判定条件为真,正确的应该是  !(ip.addr eq 192.168.0.1)

2、第二层过滤器

eth.addr eq <mac-address>    #显示指定mac地址的数据帧

eth.src eq  <mac-address>     #显示指定源mac地址的数据帧

 eth.dst eq  <mac-address>    #显示指定目的mac地址的数据帧

arp.opcode eq <value>   #只显示特定类型的arp帧,arp按其所含代码字段值,可分为arp应答帧,响应帧,rarp应答,响应帧   1=arp请求  2=arp应答  3=rarp请求  4=rarp应答

arp.src.hw_mac eq <mac address>    #显示指定mac地址的主机发出的arp帧

eth.type eq  <Ethernet type> (十六进制数,格式为0xnnnn) #只显示特定以太网类型的流量,如下图,可以看到以太网类型为0x8100,过滤条件就写eth.type == 0x8100,注意不能写Protocol类型的0xb62c,用0xb62c过滤不了。

 

3、第三层过滤器

ip.addr eq  <ip-adress>   #显示指定ip地址的数据帧

ip.src eq  <ip-adress>     #显示指定源ip地址的数据帧

ip.dst eq  <ip-adress>     #显示指定目的ip地址的数据帧

ip.len = value    #只显示指定长度的IP数据包

4、第四层过滤器

tcp.port eq 

tcp.src/dst port

tcp.analysis.retransmission   #显示重传的数据包

tcp.analysis.duplicate_ack    #显示确认多次的tcp数据包

ynlyxy-p
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
wireshark(Ethreal)中文手册
04-13
wireshark(Ethreal)中文手册 抓包软件wireshark(Ethreal)中文手册 抓包软件wireshark(Ethreal)中文手册 抓包软件wireshark(Ethreal)中文手册 抓包软件
wireshark 过滤设置
Fly_Sky
11-21 1568
(ip.src == 源IP地址 and port == 源端口号) or (ip.dst == 目标IP地址 and port == 目标端口号)4. **过滤特定源或目标IP地址的ICMP数据包:**3. **过滤源或目标端口为特定端口的数据包:**8. **过滤特定IP地址和端口的数据包:**6. **过滤特定协议和关键字的数据包:**5. **过滤特定协议和端口的数据包:**7. **过滤特定网络接口的数据包:**1. **过滤特定主机的数据包:**9. **过滤出现错误的数据包:**
wireshark常见过滤规则
qq_42824983的博客
08-03 162
【代码】wireshark常见过滤规则。
以太网帧类型
chinayangbo2011的专栏
01-11 941
EtherType :以太网类型字段及值 EtherType 是以太帧里的一个字段,用来指明应用于帧数据字段的协议。根据 IEEE802.3,Length/EtherType 字段是两个八字节的字段,含义两者取一,这取决于其数值。在量化评估中,字段中的第一个八位字节是最重要的。而当字段值大于等于十进制值 1536 (即十六进制为 0600)时, EtherType 字段表示为 MAC 客户机协
网络:以太网类型(EthernetType)整理
热门推荐
王小二(海阔天空)
11-29 1万+
EtherType 是以太帧里的一个字段,用来指明应用于帧数据字段的协议。根据IEEE802.3,Length/EtherType字段是两个八字节的字段,含义两者取一,这取决于其数值。在量化评估中,字段中的第一个八位字节是最重要的。而当字段值大于等于十进制值1536 (即十六进制为 0600)时, EtherType 字段表示为 MAC 客户机协议(EtherType解释)的种类。该字段的长度和 ...
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器Wireshark 和 TShark 中的一个强大功能,能够帮助用户从数据包跟踪中去除干扰,只显示感兴趣的数据包。过滤器可以比较协议中的字段与特定值之间的差异,比较...
WiresharkWireshark过滤器语言精讲.docx
最新发布
09-04
WiresharkWireshark过滤器语言精讲.docx
wireshark过滤器-抓包教程大全!
12-18
2. **过滤器**:Wireshark提供了丰富的过滤器功能,帮助用户快速定位和分析感兴趣的流量。过滤器分为多个层级,包括以太网、IP、传输层和应用层过滤。 - **以太网过滤器**:如`eth.addr`用于匹配MAC地址,`eth....
Wireshark过滤器
11-29
Wireshark过滤器是一种用于过滤网络数据包的机制,可以根据协议、源地址、目标地址、端口等条件来过滤数据包,以便于用户快速定位需要的数据包。以下是一些Wireshark过滤器的例子: 1. 过滤HTTP协议的数据包 ``` ...
最全的Ethernet Type Code及名称
07-18
此文件从IEEE上下载,包含了截止到2017/07/18的所有Ethernet Type Code及名称
Wireshark 基础 | 显示过滤篇
7ACE的博客
04-05 7442
Wireshark 基础 | 显示过滤篇
Wireshark抓包工具使用以及数据包分析
whateverccc的博客
04-28 3730
-Frame 5: 66 bytes on wire (528 bits), 66 bytes captured(捕获) (528 bits) on interface 0 //5号帧,对方发送66字节,实际收到66字节-Interface id: 0 (\Device\NPF_{37239901-4A63-419C-9693-97957A8232CD}) //接口id为0 -Encapsulation type: Ethernet (1) //封装类型-Arrival Time: Jul
wireshark以太帧的分析
07-14 6821
首先应该明白,封装以太帧的位于OSI七层模型的第二层,也就是数据链路层,wireshark可以把完整的以太帧抓起来,我们可以清楚的看到。打开wireshark找到自己ip对应的网卡,点开,随便点一个协议,这里以UDP协议为例子,截图如下 上面: Frame, Ethernet II, Internet Protocol Version 4, User Datagram Protocol。 分别对应 : 1:以太帧总信息, 2:以太帧头部, 3:IP 数据包, 4:UDP数据包。 他们是有联系的,且看我在下面
以太网帧.
qq_50605865的博客
11-06 4072
以太网帧 简介 在以太网链路上的数据包称作以太帧。以太帧起始部分由前导码和帧开始符组成。后面紧跟着一个以太网报头,以MAC地址说明目的地址和源地址。帧的中部是该帧负载的包含其他协议报头的数据包(例如IP协议)。以太帧由一个32位冗余校验码结尾。它用于检验数据传输是否出现损坏。 结构 来自线路的二进制数据包称作一个帧。从物理线路上看到的帧,除其他信息外,还可看到前导码和帧开始符。任何物理硬件都会需要这些信息。 下面的表格显示了在以1500个八比特组为MTU传输(有些吉比特以太网甚至更高速以太网支持更大的帧,称
读书随笔(6)Wireshark实践
cqw123698的博客
04-28 1209
1 引言 本文从实战的角度介绍了 Wireshark 的使用技巧,其主要目的有三: 1)分析网络协议,掌握网络知识与技能; 2)定位网络故障,解决网络问题; 3)为行业从业人员进一步提升专业技能创造基础条件。 2 概述 Wireshark 是一款开源免费的网络协议分析工具,基于 GPL 发布,在业界有非 常广泛的应用,有各种操作系统平台(Windows,Linux,MacOS,各种 Unix 等)的二进制包和源码下载。可以直接下载各个操作系统对应的预编译包,也可
wireshark以太网协议分析
有人_295的博客
12-08 7513
一、关键术语和协议码 1、关键术语 最大传输单元(Maximum Transmission Unit,MTU) 最大报文段长度(Maximum Segment Size,MSS) 循环冗余校验(Cyclic Redundancy Check,CRC) 帧检验序列(Frame Check Sequence,FCS) 2、协议码 ICMP:1 IGMP:2 TCP:6 UDP:17 EIGRP:88 ...
EtherType
安子自语
01-25 1653
http://en.wikipedia.org/wiki/EtherType EtherType for some notable protocols EtherType Protocol 0x0800 Internet Protocol version 4 (IPv4) 0x0806 Address Resolution Pr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值