Wireshark详细语法内容教程与案例

最新推荐文章于 2024-06-19 22:50:41 发布
最新推荐文章于 2024-06-19 22:50:41 发布
阅读量1.2k 收藏 23
点赞数 26
文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanbaobao1999/article/details/136114816
版权

Wireshark是一款开源的网络协议分析器,用于实时捕获和分析网络流量。它支持多种操作系统,并且具有丰富的功能和灵活的过滤器语法。下面将详细介绍Wireshark的过滤器语法,并通过案例进行说明。

一、Wireshark过滤器类型

Wireshark提供了两种类型的过滤器:捕获过滤器(Capture Filter)和显示过滤器(Display Filter)。

1. 捕获过滤器(Capture Filter)

捕获过滤器用于在捕获网络流量时过滤掉不需要的数据包,以减少数据量和提高分析效率。它的语法基于BPF(Berkeley Packet Filter)语法。

2. 显示过滤器(Display Filter)

显示过滤器用于在捕获完成后对数据包进行过滤,只显示符合特定条件的数据包。它的语法更加灵活和强大,支持多种协议和字段的过滤。

二、捕获过滤器语法

捕获过滤器的语法基于BPF语法,以下是一些常用的操作符和示例:

1. 类型操作符

  • host:指定主机名或IP地址。
  • net:指定网络地址和子网掩码。
  • port:指定端口号。

2. 协议操作符

  • proto:指定协议类型,如tcpudp等。

3. 方向操作符

  • src:指定源地址或端口。
  • dst:指定目的地址或端口。

4. 逻辑操作符

  • and&&:逻辑与。
  • or||:逻辑或。
  • not!:逻辑非。

5. 示例

  • 捕获来自IP地址为192.168.1.1的所有TCP数据包:tcp src host 192.168.1.1
  • 捕获目标端口为80的所有数据包:port 80
  • 捕获所有HTTP请求数据包:tcp port 80 and http.request

三、显示过滤器语法

显示过滤器的语法更加灵活和强大,以下是一些常用的操作符和示例:

1. 协议操作符

  • tcpudphttp等:指定协议类型。

2. 字段操作符

  • srcdst:指定源地址或目的地址。
  • port:指定端口号。
  • len:指定数据包长度。
  • ip.addrip.srcaddrip.dstaddr:指定IP地址。

3. 比较操作符

  • ==:等于。
  • !=:不等于。
  • ><>=<=:大于、小于、大于等于、小于等于。

4. 逻辑操作符

  • and&&:逻辑与。
  • or||:逻辑或。
  • not!:逻辑非。

5. 字符串操作符

  • contains:包含指定字符串。
  • matches:正则表达式匹配。

6. 示例

  • 显示所有HTTP GET请求数据包:http.request.method == "GET"
  • 显示长度大于1000字节的所有TCP数据包:tcp and greater 1000
  • 显示包含特定关键词的HTTP响应数据包:http contains "Keyword"

四、案例说明

案例1:捕获特定主机的所有TCP数据包

假设我们需要捕获来自IP地址为192.168.1.100的所有TCP数据包,可以按照以下步骤操作:

  1. 打开Wireshark,选择捕获接口。
  2. 在捕获过滤器输入框中输入:tcp src host 192.168.1.100
  3. 点击开始捕获按钮,等待数据包捕获完成。
  4. 使用显示过滤器进一步过滤数据包,如只显示HTTP请求数据包:http.request

案例2:分析HTTP请求和响应数据包

假设我们需要分析某个HTTP请求和响应数据包的内容,可以按照以下步骤操作:

  1. 打开Wireshark,选择捕获接口。
  2. 开始捕获数据包,直到捕获到所需的HTTP请求和响应数据包。
  3. 在数据包列表中找到HTTP请求和响应数据包,点击其中一个数据包。
  4. 在数据包详情窗口中查看数据包的内容,如请求头、请求体、响应头等。
  5. 使用显示过滤器进一步过滤数据包,以便更好地分析数据包内容,如只显示HTTP GET请求数据包:`http
  6. 在过滤后的数据包列表中,你可以看到所有的HTTP数据包。HTTP请求通常显示为"HTTP Request"或"TCP Previous segment not captured",而HTTP响应通常显示为"HTTP Response"或"TCP Segment of a reassembled PDU"。
  7. 为了分析某个具体的HTTP请求和响应,你可以双击数据包列表中的某个HTTP数据包,Wireshark将显示该数据包的详细信息。在详细信息窗口中,你可以看到HTTP请求的方法(GET、POST等)、URL、请求头以及请求体(如果有的话)。对于HTTP响应,你可以看到响应状态码(如200 OK)、响应头以及响应体。
  8. 为了更好地理解HTTP请求和响应之间的关系,你可以使用Wireshark的"Follow"功能来跟踪HTTP会话。选择菜单栏的"Analyze" -> "Follow" -> "TCP Stream",然后选择你感兴趣的HTTP请求或响应数据包。Wireshark将显示一个会话窗口,其中包含了该HTTP会话的所有数据包,按时间顺序排列。
  9. 除了查看基本的HTTP请求和响应信息外,你还可以深入分析数据包的其他方面,如TCP层的信息(如序列号、确认号、窗口大小等)、SSL/TLS加密信息(如果HTTP通信使用了加密)等。
三层交换机
关注
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
WireShark_过滤语法
12-03
WireShark_过滤语法 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 80 // 只显tcp协议的目标端口80 tcp.srcport == 80 // 只显tcp协议的来源端口80
wireshark抓包的使用,超级详细,收藏这一篇就够了
热门推荐
Javachichi的博客
12-29 1万+
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&且、||或、!ip.addr==192.168.23.1 显示主机地址为192.168.23.1的数据包。ip.dstr==192.168.23.1 显示目标地址为192.168.23.1的数据包。=(不等于)、>(大于)、=(大于等于)、
wireshark常见使用表达式
最新发布
qq_62311779的博客
06-19 980
wireshark捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。
WireShark 语法
bosy_xu的专栏
09-18 2371
<br />总体条件语法<br />||(或),&&(与),或者使用英文:and,or<br />例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />         ip.src eq 192.168.1.107 || ip.dst eq 192.168.1.107<br /> <br />条件表达式:<br />等于:==  或者 eq<br />大于: > 或者 gt<br />小于:< 或者  lt<br />不大于: <= 或者 l
Wireshark应用
00's Blog
01-03 2742
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
wireshark过滤器基本语法分析
tecoes的博客
04-13 2312
Wireshark抓包过滤器语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ether、ip、tcp、ud...
Wireshark基础使用和表达式语法
qq_35634181的博客
04-07 6570
Wireshark的世界里有2种过滤器,分别是捕获过滤器和显示过滤器,采用恰当的过滤器,不但能提高数据分析的灵活性,而且能让分析者更快看到自己想要的分析对象。 1.在使用Wireshark时,需要先选择一个接口, 2.在使用Wireshark进行抓包之前,可以使用捕获过滤器来捕获我们 ...
wireshark过滤器的语法详解(有图有内容
qq_70070181的博客
06-07 6394
若出现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
Wireshark使用方法与案例
12-08
### Wireshark使用方法与案例详解 #### 一、Wireshark概述 Wireshark是一款功能强大的网络数据包抓取工具,广泛应用于网络故障排查、安全审计和协议开发等领域。其用户界面友好,操作简便,适合技术人员进行网络...
wireshark安装教程入门.zip
05-15
在"文档资料.docx"中,可能包含了更详细Wireshark使用技巧和案例分析,建议读者结合文档进行学习。"项目说明.zip"可能是某个网络项目的相关资料,可能涉及到如何利用Wireshark解决实际问题的步骤和策略。 总的来...
wireshark中文教程2
06-25
wiresharkcharpt”可能是指Wireshark的中文教程章节或案例,提供了实际操作的指导。这些章节可能会涵盖从基础到进阶的多个主题,例如: 1. Wireshark安装与启动 2. 数据包捕获的基本操作 3. 显示过滤器语法及实例...
Wireshark数据包分析实战案例
04-28
Wireshark数据包分析实战案例非常适合新手学习的好资料
Wireshark网络抓包视频百度网盘课程下载.docx
12-01
1. **Wireshark基本概念**:首先,课程会介绍Wireshark的基本概念,包括数据包捕获、过滤器语法、时间线视图以及协议解析等方面。了解这些基础知识对于后续的学习至关重要。 2. **安装与配置**:讲解如何在不同的...
Wireshark使用例程
12-18
教程将深入探讨Wireshark的使用方法和实例,帮助用户熟练掌握这款工具。 一、Wireshark简介 Wireshark是一款开源的网络封包分析工具,原名为 Ethereal,后因商标问题更名为Wireshark。它能够捕获网络上的数据包,...
wireshark基本用法及过虑规则(收集)
Youngs-RSR技术专栏
05-04 537
1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.108 or ip.dst eq 192.168.1.108或者ip.addr eq 192.168.1.108 // 都能显示来源IP和目标IP2.过滤端 口例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.po
wireShark捕获规则语法,tcpdump基本使用
General_zy的博客
04-26 1462
ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。而免费ARP的请求报文中,目标IP地址是自己的IP地址。
wireshark过滤规则
洞若观火
09-26 522
1.过滤IP ip.addr eq &lt;ip_addr&gt; ip.src eq &lt;ip_addr&gt; ip.dst eq &lt;ip_addr&gt;2.过滤端口 tcp.port eq &lt;port&gt; tcp.port == &lt;port&gt; tcp.port eq &lt;port&gt; tcp.port eq 80 or udp.port eq &lt...
Wireshark过滤规则语法
weixin_33941350的博客
07-25 50
2019独角兽企业重金招聘Python工程师标准>>> ...
wireshark常见语法
10-20
wireshark常见语法包括捕获过滤器语法和显示过滤器语法。 1. 捕获过滤器语法:用于在捕获数据包时过滤出需要的数据包。语法格式为“<Protocol> <Direction> <Host(s)> <Value> < Logical Operations> <Other expression>”,其中Protocol指协议类型,Direction指流量方向,Host(s)指主机地址,Value指数值,Logical Operations指逻辑运算符,Other expression指其他表达式。 2. 显示过滤器语法:用于在已经捕获的数据包中过滤出需要的数据包。语法格式为“<expression>”,其中expression是由一系列过滤条件组成的表达式。常见的过滤条件包括协议类型、源地址、目的地址、端口号等。 在wireshark中,常见的符号包括: 1. 与:&& 或者 and 2. 或:|| 或者 or 3. 非:! 或者 not 4. 等于:== 或者 eq 5. 不等于:!= 或者 ne 6. 大于:> 或者 gt 7. 大于等于:>= 或者 ge 8. 小于:< 或者 lt 9. 小于等于:<= 或者 le 更多关于wireshark语法和用法,可以参考wireshark官方文档或者相关教程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值