Wireshark过滤规则

最新推荐文章于 2023-06-09 11:53:15 发布
最新推荐文章于 2023-06-09 11:53:15 发布
阅读量4.1k 收藏 1
点赞数

说明:以下内容部分来自网络,部分本人的实践总结,如有问题,请留言,谢谢。


一、符号:
and(&&)        //并且
or(||)         //或者
not(!)         //取反
==(eq)        //等于
matches        //模糊匹配某字符串
contains    //包含某字符串

二、IP过滤:包括来源IP或者目标IP等于某个IP
ip.src == 102.198.10.20                    //显示源IP为102.198.10.20
ip.dst == 102.198.10.20                    //显示目的IP为102.198.10.20
ip.src eq 102.198.10.20 && ip.dst eq 108.201.1.80    //显示源IP为102.198.10.20,并且目的IP为108.201.1.80

三、端口过滤:
tcp.port eq 80                 //显示80的tcp端口,不管是源端口还是目标端口
udp.port == 694             //显示694的udp端口,不管是源端口还是目标端口
tcp.port eq 80 or udp.port eq 80    //显示80的tcp端口或者80的udp端口
tcp.dstport == 80             //只显示tcp协议的目标端口80
tcp.srcport == 80             //只显示tcp协议的来源端口80
tcp.port >= 1 and tcp.port <= 80    //过滤tcp端口范围[1-80]
ip.src == 102.198.10.20 and http    //过滤ip为102.198.10.20并且为http协议的包

四、协议过滤:直接在Filter栏输入即可。
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
ssh
等等

五、包长度过滤:
udp.length == 225     //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7         //指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94         //除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119     //整个数据包长度,从eth开始到最后

六、http模式过滤:
http.request.method == "GET"            //只显示GET方法的HTTP请求,GET要大写。
http.request.method == "POST"            //只显示POST方法的HTTP请求,POST要大写。
http.request.uri matches "gif"            //模糊匹配(搜索)URL请求gif图片的包
http.request.uri matches ".gif$"         //匹配过滤HTTP的请求URI中含有".gif"字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)
http.request.uri contains ".gif$"         //contains是包含字符串".gif$"(5个字节)。匹配过滤HTTP的请求URI中含有".gif$"字符串的http请求数据包(这里$是字符,不是结尾符)
http contains "GET"                //匹配过滤HTTP协议含有"GET"字符串的包
http contains "HTTP/1."                //匹配过滤HTTP协议含有"HTTP/1."字符串的包

// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "



原文地址:http://wenku.baidu.com/view/e8afe23143323968011c925f.html

qiaohaiquan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
Wireshark常用过滤使用方法
想到就写点东西的博客
08-13 5969
过滤ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过
wireshark
夜车星繁的博客
06-19 5652
晚上看渗透教程看的很懵。。。 在此水一篇教程,接下来会努力学习写出好的博客。 Wireshark界面说明 过滤器表达式书写是wireshark使用的核心,但在此之前,很多初学者还会碰到一个难题,就是感觉wireshark界面上很多东西不懂怎么看。其实还是挺明了的我们下面简单说一下,如下图。 1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wires...
Wireshark表达式使用技巧——IP过滤
welcomeem的专栏
09-01 1103
需求描述,按源IP、目标IP和直接按IP进行过滤方法如下: (1)源IP:(以192.168.0.105为源IP举例,见图1.1) 表达式:ip.src==192.168.0.105,也可ip.srceq192.168.0.105 含义:筛选出源IP是192.168.0.105的数据包。 图1.1按源IP过滤 (2)目标IP:(以119.147.74.18为目的IP举例,见图1.2)
Wireshark 实用篇:Wireshark 抓包常用过滤命令
热门推荐
彪锅锅来啦
06-09 1万+
Wireshark 抓包常用过滤命令
工具WireShark的抓包筛选使用
思维小刀
05-25 3583
根据通讯协议进行筛选数据包,例如http协议、dns协议等等。
WireShark 过滤语法使用
swanabin的专栏
08-09 2520
WireShark 过滤语法 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 1万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark 日常使用指南
朱工的专栏
05-21 1万+
过滤器 捕获过滤器 (CaptureFilters) 决定将什么样的信息记录在捕获结果中。 点击如图所示图标,设置捕获过滤规则。 在弹出的“捕获选项”界面中,选择合适的接口,然后在 Capture filter for selected interfaces 输入框中输入捕获过滤器表达式。 捕获过滤器表达式语法: 滤波器表达式由**一个或多个原语(primitive)**组成 多个原语之间使用逻辑操作符连接 原语由一个或多个限定符组成。 限定符有三类,分别是:协议、方向和类型 常用的捕获滤波表达式
wireshake 总结
wnjok的专栏
11-07 368
  wireshark过滤基本命令  一、IP过滤ip.addr==192.168.22.143 ip.src==192.168.22.143 ip.dst==192.168.22.124   二、端口过滤: tcp.port==514 or udp.port == 514 tcp.port &gt;= 1 and tcp.port &lt;= 80   三、协议过滤: ...
WireShark过滤语法
lzg13541043726的专栏
08-01 979
WireShark过滤语法   1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端 口 例子: tcp.port eq 80 // 不管端口是来源
Wireshark过滤规则.docx
05-28
目前最好用的抓包工具,网络管理员最常用的网络管理工具。文档中总结了常用的一些wireshark过滤规则汇总。非常基础,但是也非常实用。
Wireshark过滤规则及使用方法.pdf
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> 评论 分享 微信分享 ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展,移动安全变得...
0 Wireshark抓包常用过滤规则.docx
10-27
Wireshark抓包常用过滤规则,便于抓包根据条件过滤,有语法举例。适用于爱好抓包分析的朋友。
Wireshark显示过滤规则实验
04-09
Wireshark的显示过滤规则的实验内容,比较详细
混合动力无人船上位机.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
Swing界面开发和游戏开发.docx
05-05
Swing界面开发和游戏开发.docx
xx国际集团母子管控诊断报告(宣讲)gl.ppt
05-05
xx国际集团母子管控诊断报告(宣讲)gl.ppt
二叉树的遍历hahhahaha
最新发布
05-05
二叉树的遍历hahhahaha

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值