wireshark工具及过滤语法

最新推荐文章于 2023-06-07 10:26:22 发布

HPUZ

最新推荐文章于 2023-06-07 10:26:22 发布

阅读量1.3k

点赞数 2

分类专栏：网络工程文章标签： wireshark

本文链接：https://blog.csdn.net/xiao_xiao_c/article/details/51330299

版权

网络工程专栏收录该内容

3 篇文章 0 订阅

订阅专栏

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

捕捉过滤器 (此过滤器不需要比较运算符，查询关键字请全部小写)
1. tcp dst port 3128 #显示目的TCP端口为3128的封包。
2. Ip src host10.1.1.1 #显示来源IP地址为10.1.1.1的封包。
3. Host 10.1.2.3 #显示目的或来源IP地址为10.1.2.3的封包。
4. Src portrange 2000-2500
#显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。
5. Not imcp --同样于显示过滤器
显示除了icmp以外的所有封包。（icmp通常被ping工具使用）
6. src host 10.7.2.12 and not dst net10.200.0.0/16
显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net10.6.0.0/16) and tcp dst portrange200-10000 and dst net10.0.0.0/8
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。
--------------------------------------------------

filter:dns||icmp||tcp #显示dns,icmp,tcp数据包
---------ip过滤------------
ip.dst==192.168.1.1||ip.src==192.168.1.2 #目的地址，源地址
ip.addr==192.168.1.1 #显示源或目的为192.168.1.1的包
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
#。显示来源不为10.1.2.3或者目的不为10.4.5.6的封包

----------端口过滤-------------
tcp.port==80 #过滤80
tcp.dstport==80 #过滤目的80
tcp.srcport==80 #过滤源80
---------http模式过滤---------
http.request.method=="GET" #过滤get包
http.request.method=="POST" #过滤post包

tcp.port>=1 and tcp.port<=80 #过滤端口范围

!icmp #显示icmp之外的其他包
---------------------------
Logical expressions（逻辑运算符）:
英文写法： C语言写法：含义：

and && 逻辑与

or || 逻辑或

xor ^^ 逻辑异或

not ! 逻辑非

-----------------------------------------
6种比较运算符：

英文写法： C语言写法：含义：

eq == 等于

ne != 不等于

gt > 大于

lt < 小于

ge >= 大于等于

le <= 小于等于

------------------------------------------------
各行信息分别为：

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

---------------------------------------------------------
http.request.uri matches “.gif$” 匹配过滤HTTP的请求URI中含有”.gif”字符串，并且以.gif结尾（4个字节）的http请求数据包（$是正则表达式中的结尾表示符）
注意区别：http.request.uri contains “.gif$” 与此不同，contains是包含字符串”.gif$”（5个字节）。匹配过滤HTTP的请求URI中含有”.gif$”字符串的http请求数据包（这里$是字符，不是结尾符）

eth.addr[0:3]==00:1e:4f 搜索过滤MAC地址前3个字节是0x001e4f的数据包。
-------------------------------------------------------

一、IP过滤：包括来源IP或者目标IP等于某个IP比如：ip.src eq 192.168.10.130 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 80 // 只显tcp

协议的目标端口80 tcp.srcport == 80 // 只显tcp协议的来源端口80过滤端口范围tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcpudparpicmphttpsmtpftpdnsmsnmsipssl等等排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：比如：udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len == 94 除了以太网头固定长度14,其它都算

是ip.len,即从ip本身到最后frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：例子:http.request.method == “GET”http.request.method == “POST”http.request.uri == “/img/logo-edu.gif”http contains “GET”http contains “HTTP/1.”// GET包

http.request.method == “GET” && http contains “Host: ”http.request.method == “GET” && http contains “User-Agent: ”// POST包http.request.method == “POST” && http contains “Host:

”http.request.method == “POST” && http contains “User-Agent: ”// 响应包http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”http contains “HTTP/1.0 200 OK” && http
contains “Content-Type: ”一定包含如下Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)