使用 Wireshark 的默认设置抓包时,会得到大量的冗余信息,以至于很难找到自己所需的封包。使用过滤器可以帮助我们在庞杂的结果中快速地找到我们所需的封包。过滤器分为两种:捕捉过滤器和显示过滤器。

捕捉过滤器用于决定将什么样的信息记录在捕捉结果中,需要在抓包前设置。捕捉过滤器是数据经过的第一层筛选,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器是一种更为强大复杂的过滤器,它用于在捕捉结果中进行详细查找,帮助我们在日志文件中迅速地定位我们所需的封包。

捕捉过滤器

语法

protocol[ direction][ host(s)][ value][ logical_operator other_expression]

操作

点击 Capture 菜单栏,选择 Options...,打开 Capture Options 窗口编辑过滤表达式。

实例

a) 显示目的 TCP 端口为 3128 的封包。

tcp dst port 3128

b) 显示来源 IP 地址为 10.1.1.1 的封包。

ip src host 10.1.1.1

c) 显示目的或来源 IP 地址为 10.1.2.3 的封包。

host 10.1.2.3

d) 显示来源为 UDP 或 TCP ,并且端口号在 2000 至 2500 范围内的封包。

src portrange 2000-2500

e) 显示除了 ICMP 以外的所有封包。

not imcp

f) 显示来源 IP 地址为 10.7.2.12 ,但目的地不是 10.200.0.16 的封包。

src host 10.7.2.12 and not dst net 10.200.0.16

显示过滤器

语法

protocol[.str1][.Str2][ comparison_operator value][ logical_operator other_expression]

操作

1. 编辑位置:

2. 可以点击 Expression... 按钮,打开 Filter Expression 窗口编辑过滤表达式:

实例

a) 显示 TCP 封包。

tcp

b) 显示除 ICMP 外的封包。

not icmp

c) 显示来源 IP 地址为 93.184.216.34 的封包。

ip.src == 93.184.216.34

d) 显示目的 IP 地址为 93.184.216.34 且目的 TCP 端口为 445 的封包。

 ip.dst == 10.6.0.30 and tcp.dstport == 445

e) 显示来源或目的 IP 地址为 10.1.1.1 的 HTTP 封包。

ip.addr == 93.184.216.34 and http

f) 显示 host 首部包含 "example.com" 的 HTTP 封包。

http.host contains "example.com"

h) 显示数据帧长度不大于 1024 字节的封包。

frame.len <= 1024

Wireshark - 过滤规则的更多相关文章

  1. 【汇总】Wireshark 过滤规则

    作者:Bay0net 时间:2019-07-01 14:20:09 更新: 介绍:记录使用过的 wireshark 过滤规则 0x01. 使用介绍 抓包采用 wireshark,提取特征时,要对 se ...

  2. 【转】wireshark过滤规则

    WireShark过滤语法 1.过滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.add ...

  3. wireshark过滤规则

    WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.ad ...

  4. 转: wireshark过滤规则

    转: http://blog.sina.com.cn/s/blog_48a0f2740100ka71.html WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ...

  5. 【转】WireShark 过滤规则

    原链:[渗透神器系列]WireShark wireshark是一款网络流量抓取分析神器,也是安全工具使用排行中排名第一的工具.使用wireshark必须要牢记一些常用的数据包过滤规则,对于寻找一些特定 ...

  6. 【HTTP】Wireshark过滤规则

    参考:http://jingyan.baidu.com/article/454316ab593170f7a6c03a60.html 语句特点:协议.属性 一.IP过滤: 包括来源IP或者目标IP等于某 ...

  7. 干货,Wireshark使用技巧-过滤规则

    - 过滤规则使用 在抓取报文时使用的规则,称为过滤规则,Wireshark底层是基于Winpcap,因此过滤规则是Winpcap定义的规则,设置过滤规则后,抓到的报文仅包含符合规则的报文,其它报文则被 ...

  8. wireshark常用过滤规则

    wireshark常用过滤规则:(Filter中输入过滤规则)1.源ip过滤:ip.src==1.1.1.1               (过滤源ip为1.1.1.1的包) 2.目的ip过滤:ip.d ...

  9. Wireshark技巧-过滤规则和显示规则

    Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率. 如果要 ...

随机推荐

  1. 【转】plist文件的内容清空

    原文网址:http://zhidao.baidu.com/link?url=3aQGrNnqL2UgQ3UW_RWJJq0ADBmY8zQrpy09j6ScDZEAOd87f-D4bAABog5RFS ...

  2. 【转】为Xcode添加删除行、复制行快捷键

    原文网址:http://www.jianshu.com/p/cc6e13365b7e 在使用eclipse过程中,特喜欢删除一行和复制一行的的快捷键.而恰巧Xcode不支持这两个快捷键,再一次的恰巧让 ...

  3. BZOJ2818: Gcd 欧拉函数求前缀和

    给定整数N,求1<=x,y<=N且Gcd(x,y)为素数的数对(x,y)有多少对. 如果两个数的x,y最大公约数是z,那么x/z,y/z一定是互质的 然后找到所有的素数,然后用欧拉函数求一 ...

  4. Rose

    <html> <head> <title>JS小尝试</title> <meta http-equiv="Content-Type&qu ...

  5. 【原】本地win7,远程服务器XP系统,两台机器间不能拖动文件

    (1)网上大部分说是rdpclip.exe(存放在c:/windows/system32)的问题,试了好几次,没有解决 (2)通过第二种方式解决,详细步骤如下所示: 1.点击进入远程连接. 2.选择本 ...

  6. 【HTML】Beginner7:Image

    1.Image     The web is not just about text,it is a multi-media extravaganza and the most common form ...

  7. 非递归实现先序遍历 java leecode 提交

    写完才知道自己学习都是似是而非啊,大家可以也在leecode上提交代码,纯手写,离开eclipse第一种方式:数据结构书上的,使用栈大概思路.1.不断将根节点的左孩子的左孩子直到为空,在这个过程入栈. ...

  8. [转载]DOS循环:bat/批处理for命令详解 (史上虽详尽的总结和说明~~)

    --本文来源于TTT BLOG: http://www.yoyotao.net/ttt/, 原文地址:http://www.yoyotao.net/ttt/post/139.html 前言: 虽然以前 ...

  9. Docker系列(二)组件介绍

    镜像 镜像是一个只读的模版,可以用来创建Docker容器. 容器 Docker利用容器来运行应用,容器是从镜像创建的运行实例.它可以被启动.开始.停止.删除.每个容器都是互相隔离的,保证安全的平台.可 ...

  10. Spark系列(一)Spark1.0.0源码编译及安装

    最近想对自己学的东西做些回顾,想到写博客是个不错的方式,方便他人也有利自己,刚开始写不足之处大家多担待. 编译前需要安装JDK1.6以上.scala.Maven.Ant.hadoop2.20 如下图( ...