Wireshark - 过滤表达式的规则

已于 2023-07-18 20:04:17 修改
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 网络 文章标签: wireshark 网络 tcp/ip
于 2023-05-23 20:00:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lnfiniteloop/article/details/130833098
版权
本文介绍了网络数据包过滤的各种方法,包括基于协议(如TCP)、端口(如dstport,srcport)、IP地址(dst,src)、TCP重传数据包的过滤,以及包长度和利用色彩规则筛选无效通讯数据。还提到了如何通过十六进制值筛选关键数据。
摘要由CSDN通过智能技术生成

文章目录

1. 过滤 协议

  • 1、TCP - 只显示TCP协议
  • 2、!TCP - 排除TCP协议

2. 过滤 端口

  • 1、tcp.port==6666 - 显示(不分来源或目标)端口
  • 2、tcp.dstport==6666 - 只显示目标端口
  • 3、tcp.srcport==6666 - 只显示来源端口

3. 过滤 IP

  • 1、ip.addr==168.88.88.88 - 显示(不分来源或目标)IP地址
  • 2、ip.dst==168.88.88.88 - 只显示目标IP地址(Destination)
  • 3、ip.src==168.88.88.88 - 只显示来源IP地址(Source)

4. 过滤 TCP重传数据包

  • 1、!(tcp.analysis.retransmission) - 过滤 TCP重传数据包

5. 包长度过滤

  • 1、tcp.len>=7 - 指的是tcp包里data数据部分的长度


    在这里插入图片描述

6. 利用色彩规则过滤无效通讯数据

  • 1、frame.coloring_rule.name == “TCP” - 过滤无效通讯数据,只保留TCP有效数据包

7. 筛选关键数据

  • 1、tcp contains ff:53:4d:42 - 从tcp头部开始筛选出包含十六进制ff:53:4d:42数据的tcp包。

8. <未完待续2023.5.23>

努力的小肥丸
关注
专栏目录
wireshark 实用过滤表达式
ishulei的博客
08-03 1064
Wireshark 基本语法,基本使用方法,及包过虑规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。 i...
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark应用
00's Blog
01-03 2815
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
Wireshark显示过滤器常用关键字及过滤表达式
最新发布
geriletuma
08-15 1526
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式
wireshark过滤规则
知道不_zkl的博客
06-04 851
​  转载自https://blog.csdn.net/a2657222/article/details/7820036  首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!” 和 “not” 都表示取反。 一,针对地址的过滤   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    ...
Wireshark-win64-3.6.3.exe
04-22
- **过滤表达式**:学习和熟练使用Wireshark过滤表达式,可以快速找到感兴趣的数据包。 - **彩色规则**:自定义颜色规则,使数据包视图更加直观。 - **跟踪流**:Wireshark可以显示TCP和UDP的交互流,有助于...
Wireshark-win32-1.12.0.1410492379.rar
09-16
- **数据包过滤**:在主界面下方的过滤栏中输入过滤表达式,如"tcp.port == 80"可以只显示HTTP流量。 - **查看数据包详情**:双击捕获到的数据包,可以查看其完整头部信息和数据内容,包括源/目的地址、端口号、...
Wireshark-win32-3.0.2.zip
06-26
3. **应用过滤器**:在实时捕获过程中,可以输入过滤表达式,只显示符合规则的数据包。 4. **停止捕获**:捕获完毕后,点击"停止"按钮,停止捕获并分析数据包。 5. **分析数据**:在主界面,可以查看每个数据包的...
Wireshark-win32-2.4.13.rar
05-29
用户可以自定义过滤表达式,只显示关心的数据包,极大地提高了分析效率。例如,输入"icmp"可以查看所有ICMP报文,"src host 192.168.1.1"则会显示来自特定IP的数据包。 在压缩包中,"Wireshark-win32-2.4.13.exe"是...
wireshark 过滤规则
博客
07-27 271
过滤端口 8050 ,且源 ip 为 192.168.1.113 udp.port == 8050 &amp;&amp; ip.src == 192.168.1.113
WireShark过滤规则
马赛克的博客
12-06 1481
一:介绍 Wireshark是一款强大的抓包软件,其中过滤规则最主要分为两部分 一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则 分别对应下面两张图的对应规则填写位置 如果符合对应的规则那么就会显示成为绿色,否则的话就是红色 二:抓包过滤器 抓包过滤器的语法是BPF过滤规则的语法 ,这个语法被广泛应用于多种数据包的嗅探软件,因为大多数的的软件都是基于libpacp/W...
【HTTP】Wireshark过滤规则
weixin_34007906的博客
08-05 165
参考:http://jingyan.baidu.com/article/454316ab593170f7a6c03a60.html   语句特点:协议.属性    一、IP过滤: 包括来源IP或者目标IP等于某个IP比如: ip.src eq 192.168.10.130ip.src addr eq 192.168.0.208 来源IP ip.dst addr==1...
【汇总】Wireshark 过滤规则
weixin_30344131的博客
07-01 206
作者:Bay0net 时间:2019-07-01 14:20:09 更新: 介绍:记录使用过的 wireshark 过滤规则 0x01、 使用介绍 抓包采用 wireshark,提取特征时,要对 session 进行过滤,找到关键的stream,这里总结了 wireshark 过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为 ...
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)
大叶子不小的博客
08-16 6233
通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。表达式为:udp.port >= 2048 (以udp协议为例)
WireShark 过滤表达式
Heqianqian的博客
04-14 744
常用关键字 关键字 含义 eq / == 等于 and 且 or 或 !/not 非 过滤ip地址 过滤ip地址ip.src == 192.168.0.1过滤目的ip地址ip.dst == 192.168.0.1抓取满足源或者目的地址的ip地址是192.168.0.1的包ip.addr == 192.168.0.1,或者 ip.src == 192.168.0
wireshark过滤表达式
Project__的博客
04-01 324
wireshark过滤表达式
wireshark过滤规则表达式
wangzhen_csdn的博客
08-02 2093
1.协议过滤表达式栏中直接填写协议名:比如TCP 只显示TCP协议报文 tcp udp arp http 等 2. IP 过滤: 在显示过滤表达式栏中填写:例如 ip.src == 192.168.1.102 显示源地址为192.168.1.102的报文 ip.dst == 192.168.1.104 显示目的地址为192.168.1.104 的报文 3. 端口过滤tcp
Wireshark过滤规则详解:WinPcapBPF语法与应用
为了更好地理解和使用Wireshark过滤规则,建议查阅Wireshark的官方文档,如TCPDump的手册页(),以及Wireshark本身提供的教程和示例。同时,熟悉网络协议的结构和常见的协议标识符,可以帮助你编写更精确的过滤规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力的小肥丸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值