Wireshark capture filter设置

最新推荐文章于 2025-03-13 15:08:23 发布
最新推荐文章于 2025-03-13 15:08:23 发布
阅读量1.2w 收藏 8
点赞数 1
文章标签: wireshark network filter 以太网 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xundh/article/details/45892383
版权
本文详细介绍了网络协议的基本类型、进制表示方法、IP、TCP、UDP、ICMP等协议字段的过滤规则,以及如何使用过滤器进行数据包筛选。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常见语法

过滤器支持的函数:

过滤器的语言还有下面几个函数:
upper(string-field)-把字符串转换成大写
lower(string-field)-把字符串转换成小写

upper((和lower((在处理大小写敏感的字符串比较时很有用。例如:
upper(ncp.nds_stream_name) contains "MACRO"
lower(mount.dump.hostname) =="angel"

协议字段类型

每个协议的字段都有规定的类型。这些类型是:
unsigned integer               无符号整数(8比特、16比特、24比特、32比特)
signed integer                   有符号整数(8比特、16比特、24比特、32比特)
Boolean                             布尔值
Ethernet address               以太网地址(6字节)
Byte array                          字节数组
IPv4 address                      IPv4地址
IPv6 address                      IPv6地址
IPX network number           IPX网络地址
Text string                          文本串
Double-precision floating point number          双精度浮点值

三种进制表示方法:

frame.pkt_len>10
frame.pkt_len>012
frame.pkt_len>0xa
布尔值用1 0表示

以太网地址

eth.dst        eq        ff:ff:ff:ff:ff:ff
aim.data == 0.1.0.d
fddi.src == aa-aa-aa-aa-aa-aa
echo.data == 7a
ipv4和主机名 

 ip.dst eq www.mit.edu 
 ip.src == 192.168.1.1

示例:

获取from或to ip 111.111.111.111

host 172.18.5.4

获取from或to ip 段

net 192.168.0.0/24 or net 192.168.0.0 mask 255.255.255.0

from ip段

src net 192.168.0.0/24  or src net 192.168.0.0 mask 255.255.255.0

to ip地址段

dst net 192.168.0.0/24 or dst net 192.168.0.0 mask 255.255.255.0

指定port数据

port 53    //53是dns

port段

(tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550)

tcp portrange 1501-1549

指定协议:如:Ethernet type EAPOL,ip

ether proto 0x888e
ip

目标地址不是某个ethernet

not ether dst 01:80:c2:00:00:0e

除去广播数据

not broadcast and not multicast

显示http 80 get数据

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420   GET 16进制是0x474554


位过滤

 
 

     
     
IP Filters
 
         
ip[0] & 0x0flow nibble: header length in 4octet words. should be 5
ip[1]type of service/QoS/DiffServ
ip[2:2]total length of datagram in octets
ip[4:2]IP ID number
ip[6] & 0x80reserved bit (possibly used for ECN)
ip[6] & 0x40DF bit
ip[6] & 0x20MF bit
ip[6:2] & 0x1ffffragment offset (number of 8octet blocks)
ip[8]ttl
ip[9]protocol
ip[10:2]header checksum
ip[12:4]source IP
ip[16:4]destination IP
Samples 
(ip[12:4] = ip[16:4])Src IP = Dest IP (land attack)
ip[0] & 0xf0high nibble: IP version. almost always 4
(ip[0] & 0xf0 != 0x40)IP versions !=4
(ip[0:1] & 0x0f > 5)IP with options set
(ip[19] = 0xff)Broadcasts to x.x.x.255
(ip[19] = 0x00)Broadcasts to x.x.x.0
(ip and ip[1] & 0xfc == 0xb8)search for EF in DSCP
(ip and ip[1] & 0xfc == 0x28)search for AF11 in DSCP
(ip and ip[1] & 0xfc != 0x00)search for DCSP Packets != 0
(ip[6] & 0x20 != 0) && (ip[6:2] & 0x1fff = 0)initial fragments
(ip[6] & 0x20 != 0) && (ip[6:2] & 0x1fff != 0)intervening fragments
(ip[6] & 0x20 = 0) && (ip[6:2] & 0x1fff != 0)terminal fragments
(ip[0] & 0x0f) != 5has ip options (or is truncated, or is just some sort of freak...)
ip[8] < 5short TTL value
ip[6] = 32MF set
iip[2:2] > 999IP Packet greater then 999


 
 

     
     
ICMP Filters
 
         
icmp[0]type
icmp[1]code
icmp[2:2]checksum
Samples 
icmp[0]=0x#all Packets with ICMP Type
icmp[0]=0x# and icmp[1]=0x#all Packets with ICMP Type X and Code = Y
icmp[0]=8ICMP Request Messages
icmp[8]=0ICMP Request Replay
icmp[0]=0x11ICMP Address Mask Request
icmp[0]=0x12ICMP Address Mask Replay
icmp[0]=11 and icmp[1]=0ICMP Time Exeedet
icmp[0]=3 and icmp[1]=4ICMP Time Exeedet
icmp[0]=8 and ip[2:2] > 64Large ICMP Packets


 
 

     
     
TCP Filters
 
         
tcp[0:2]source port
tcp[2:2]destination port
tcp[4:4]sequence number
tcp[8:4]ack number
tcp[12]header length
tcp[13]tcp flags
 
---- --S-       0000 0010 = 0x02   normal syn
 
---A --S-       0001 0010 = 0x12   normal syn-ack
 
---A ----       0001 0000 = 0x10   normal ack
 
--UA P---       0011 1000 = 0x38   psh-urg-ack. interactive stuff like ssh
 
---A -R--       0001 0100 = 0x14   rst-ack. it happens.
 
---- --SF       0000 0011 = 0x03   syn-fin scan
 
--U- P--F       0010 1001 = 0x29   urg-psh-fin. nmap fingerprint packet
 
-Y-- ----       0100 0000 = 0x40   anything >= 0x40 has a reserved bit set
 
XY-- ----       1100 0000 = 0xC0   both reserved bits set
 
XYUA PRSF       1111 1111 = 0xFF   FULL_XMAS scan
tcp[14:2]window size
tcp[16:2]checksumt
tcp[18:2]urgent pointer
Samples 
tcp[13] = 0x02is SYN. nothing else.
(tcp[13] & 0x02) != 0contains SYN. we don't care what else...
(tcp[13] & 0x03) = 3is some kind of SYN-FIN. realy Bad
 winnuke (not tested)
tcp[20:4] = 0x47455420GET in request


 
 

     
     
UDP Filters
 
         
udp[0:2]source port
udp[2:2]destination port
udp[4:2]datagram length
udp[6:2]UDP checksum


 
 

     
     
protocols
 
         
ip[9] == 8EGP
ip[9] == 9IGP
ip[9] == 88EIRGP
ip[9] == 50ESP
ip[9] == 51AH
ip[9] == 89OSPF
ip[9] == 124ISIS
 other, see /etc/protocols


 
 

     
     
Routing Protocols
 
         
(udp and port 520) or (host 224.0.0.9)RIP 1 + 2
tcp and port 179BGP
ip[9] == 8EGP
ip[9] == 9IGP
ip[9] == 88EIRGP
ip[9] == 89OSPF
ip[9] == 124ISIS


 
 

     
     
ether Filters
 
         
ether[20:2] == 0x2000CDP pakets
ether[12:2] == 0x0806ARP pakets


 
 

     
     
IPv6
 
         
ip6filters native IPv6 traffic (including ICMPv6)
icmp6filters native ICMPv6 traffic
proto ipv6filters tunneled IPv6-in-IPv4 traffic
TCP 
ip6 and (ip6[6] == 0x06)IPv6 TCP
ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x02)IPv6 TCP Syn
ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x10)IPv6 TCP ACK
ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x12)IPv6 TCP Syn/ACK
UDP 
ip6 and (ip6[6] == 0x11)IPv6 TCP
ICMP 
(ip6[6] == 0x3a)ICMP v6
(ip6[6] == 0x3a) and (ip6[40] == 0x01)ipv6 and type 1 Dest Unreachable
(ip6[6] == 0x3a) and (ip6[40] == 0x02)ipv6 and type 2 Packet too big
(ip6[6] == 0x3a) and (ip6[40] == 0x03)ipv6 and type 3 Time Exeedet
(ip6[6] == 0x3a) and (ip6[40] == 0x04)ipv6 and type 4 Parameter Problem
(ip6[6] == 0x3a) and (ip6[40] == 0x80)ipv6 and type 128 Echo Request
(ip6[6] == 0x3a) and (ip6[40] == 0x81)ipv6 and type 129 Echo Reply
(ip6[6] == 0x3a) and (ip6[40] == 0x86)ipv6 and type 133 Router Solicitation
(ip6[6] == 0x3a) and (ip6[40] == 0x87)ipv6 and type 134 Router Advertisement
(ip6[6] == 0x3a) and (ip6[40] == 0x88)ipv6 and type 135 Neighbor Solicitation
(ip6[6] == 0x3a) and (ip6[40] == 0x89)ipv6 and type 136 Neighbor Advertisement


 
 

     
     
MY Filters
 
         
tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'IP broadcast or multicast packets that were not sent via ethernet broadcast or multicast: 


WireShark过滤器
m0_49476241的博客
09-08 1815
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
【007】Wireshark设置捕获数据包大小及指定存储路径
Postgres 数据库内核开发工程师
11-05 6453
文章目录1. 概述2. 设置捕获包存储路径3. 设置捕获包输出格式4. 基于文件大小5. 基于时间条件6. 基于文件大小和时间组合7. 环形缓冲区创建文件 1. 概述 在 Wireshark之抓包文件保存 一文中,详细讲解了如何将Wireshark捕获到的数据包按照不同的方式存储到指定的目录位置,这属于先捕获数据包然后再存储的方式。而本文则介绍如何事先设置Wireshark自动将捕获的数据包存储到我们先前设定好的目录文件中,并且赋予它一定的存储规则,比如按照指定大小来创建文件,比如1KB、1MB等;或按照
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
wholeliubei的博客
11-01 1711
大家都知道,它可以截获和分析网络数据封包,检测网络上的问题,比如网络延迟、数据丢失、拥堵等,以及评估网络性能。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时,通过Wireshark抓包定位问题根源,是最直接有效的手段。虽然Wireshark功能强大,但是很多网工使用时一知半解,会碰到许多问题。
【2024版】最新超详细Wireshark安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了_wireshark安装步骤
最新发布
wananxuexihu的博客
03-13 1158
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
wireshare capture filter捕捉过滤的设置
weixin_34040079的博客
08-29 870
我们在使用wireshark去抓取协议log的时候,经常碰到抓到的log过大,而很难打开的想象。特别是对于测试时间久的case,logsize几个G,甚至十几,几十个G的情况,对于这种情况,有两种处理的方法,一种是log分段存取,例如可以设置每50M存一次;另一种方法是加入你只需要某一种协议的log,可以把它单独过滤存储,或者把不需要的协议/端口log过滤掉。本文介...
wireshark 找不到captrue解决方法
weixin_34315189的博客
06-04 321
今天想用wireshark抓取go访问mongodb服务器的包,打开wireshark发现没有找到本地的适配器,上次还是打开好好的,这回SB了,瞎搞了一下,在百度找到方法(鄙人是小小的菜鸟^-^)鄙人的系统是win8.1: 捕捉不到适配器是因为本地没有打开 npf 服务,在dos下运行 net start npf 就好了,是不是很简单^-^,鄙人菜木有办法附一下本地抓包方法: 在dos窗口中,输入...
wireshark 捕获过滤器入门进阶 - CaptureFilters
TianYao
04-09 2872
捕获过滤器进阶一、wireshark捕获过滤器简介二、捕获过滤器常用10条讲解附实例三、著名的漏洞流量抓取四、捕获过滤器面试中常问的问题 相关文章推荐: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 一、wireshark捕获过滤器简介 wireshark与使用libcap/winpacp支持的其他抓包程序有相同的捕获筛选器语法,如tcpdump、windump、 anal...
Wireshark过滤如何设置详解,零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
09-13 4342
Wireshark是一款功能强大的网络分析工具,能够捕获和分析网络数据包。在使用Wireshark进行网络分析时,过滤功能显得尤为重要。通过设置过滤器,我们可以从大量的网络数据包中筛选出感兴趣的部分,从而提高分析效率。本文将详细介绍Wireshark的过滤设置方法。
wireshark_filter_process_name.7z
10-28
标题中的"wireshark_filter_process_name.7z"暗示了这个压缩包可能包含了一个针对Wireshark的自定义过滤器,专注于处理与进程名称相关的网络数据。描述中的“简易进程过滤器”意味着这个过滤器简化了查看与特定进程...
wireshark 捕获过滤器抓不到东西 Capture filter does not work
Gowind001的专栏
03-12 2011
最近工作中发现wireshark 的捕获过滤抓不到东西,原因在于电脑网卡开启了 802.1Q vlan tagging,具体写过滤式要分以下两种情况: 网卡开启vlan 捕获 PPPoE vlan && pppoes && port 80 捕获 IPoE vlan && port 80 网卡关闭vlan 捕获 PPPoE pppoes && port 80 捕获 IPoE port 80 ...
如何使用Wireshark捕获过滤器
u011186532的专栏
12-26 880
Wireshark 捕获过滤器用于在数据捕获时限制所捕获的数据包类型。与显示过滤器不同,捕获过滤器会直接影响 Wireshark 捕获的内容,而非捕获后显示的内容。
Wireshark1.6.4版本的capture filter怎么使用
02-09
### 使用 Capture FilterWireshark 1.6.4 中捕获特定流量 在 Wireshark 1.6.4 版本中,Capture Filters 是一种强大的工具,允许用户仅捕获感兴趣的网络数据包。这不仅提高了效率还减少了不必要的存储空间占用。...
Wireshark入门与进阶---Capture Options各项的含义与设定
热门推荐
平凡之路
11-23 2万+
Wireshark入门与进阶系列(二) “君子生非异也,善假于物也”---荀子 本文由CSDN-蚍蜉撼青松 【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!          上一篇文章我们讲了使用Wireshark进行数据包捕获与保存的最基本流程,更通常的情况下,我们对于要捕获的数据包及其展示、存储可能有一定要求,例如: 我们希望捕获的数据包...
Wireshark 基础 | 捕获过滤篇
7ACE的博客
10-13 6766
Wireshark 基础系列 | 捕获过滤篇
Wireshark Capture Filter String-Matching
weixin_33728708的博客
12-10 185
Wireshark 捕捉过滤器匹配特殊‘字符串’ 过滤器实例: ########TCP##filtersshtcp[(tcp[12]>>2):4]=0x5353482D&&(tcp[((tcp[12]>>2)+4):2]=0x312E||\tcp[(...
Wireshark使用
weixin_30655569的博客
07-02 116
Wireshark使用   工作后首次接触网络知识,从抓包工具Wireshark开始。   Wireshark是网络包分析工具。主要作用是尝试捕获网络包,并显示包的尽可能详细的情况。Wireshark是开源网络分析软件。   Wireshark在windows、Linux以及Unix上都可以使用。   Wireshark中比较重要的还有过滤器,Filter分Display Filter、...
Wireshark 基础使用-启用抓包与过滤
wangyx1234的博客
03-06 7569
wireshark 基本使用之过滤的使用方法;捕获过滤器、显示过滤器的使用与语法。
wireshark 过滤器 过滤规则
wangjun5159的专栏
06-24 2518
wireshark 过滤器wireshark有两种过滤器,一种是抓包过滤器,一种是显示过滤器,注意两种过滤器的过滤规则不一样。 抓包过滤器定义得当,就可以抓少量的包而达到目的,抓的包太多,wireshark会卡顿。抓包过滤器抓包过滤器,顾名思义是用来抓包的,抓包过滤器抓取数据包,然后显示过滤器再过滤抓取的数据包。所以抓取过滤器的好坏也影响着显示效果。抓取过多无用的包,会造成wireshark卡顿。
wireshark的基本使用方法
funOfFan
10-14 698
分析 工具栏中statistic菜单的使用 capture file properties 抓包文件属性 工具栏->Statistics->Capture File Properties 分析结果如下图所示, protocol hierarchy 协议分布信息 工具栏->Statistics->Protocol hierarchy 分析结果如下图所示 conversations 会话统计 工具栏->Statistics->conversation 分析结果如下图
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猿来这样1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值