使用 Wireshark 的默认设置抓包时,会得到大量的冗余信息,以至于很难找到自己所需的封包。使用过滤器可以帮助我们在庞杂的结果中快速地找到我们所需的封包。过滤器分为两种:捕捉过滤器和显示过滤器。

捕捉过滤器用于决定将什么样的信息记录在捕捉结果中,需要在抓包前设置。捕捉过滤器是数据经过的第一层筛选,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器是一种更为强大复杂的过滤器,它用于在捕捉结果中进行详细查找,帮助我们在日志文件中迅速地定位我们所需的封包。

捕捉过滤器

语法

protocol[ direction][ host(s)][ value][ logical_operator other_expression]

操作

点击 Capture 菜单栏,选择 Options...,打开 Capture Options 窗口编辑过滤表达式。

实例

a) 显示目的 TCP 端口为 3128 的封包。

tcp dst port 3128

b) 显示来源 IP 地址为 10.1.1.1 的封包。

ip src host 10.1.1.1

c) 显示目的或来源 IP 地址为 10.1.2.3 的封包。

host 10.1.2.3

d) 显示来源为 UDP 或 TCP ,并且端口号在 2000 至 2500 范围内的封包。

src portrange 2000-2500

e) 显示除了 ICMP 以外的所有封包。

not imcp

f) 显示来源 IP 地址为 10.7.2.12 ,但目的地不是 10.200.0.16 的封包。

src host 10.7.2.12 and not dst net 10.200.0.16

显示过滤器

语法

protocol[.str1][.Str2][ comparison_operator value][ logical_operator other_expression]

操作

1. 编辑位置:

2. 可以点击 Expression... 按钮,打开 Filter Expression 窗口编辑过滤表达式:

实例

a) 显示 TCP 封包。

tcp

b) 显示除 ICMP 外的封包。

not icmp

c) 显示来源 IP 地址为 93.184.216.34 的封包。

ip.src == 93.184.216.34

d) 显示目的 IP 地址为 93.184.216.34 且目的 TCP 端口为 445 的封包。

 ip.dst == 10.6.0.30 and tcp.dstport == 445

e) 显示来源或目的 IP 地址为 10.1.1.1 的 HTTP 封包。

ip.addr == 93.184.216.34 and http

f) 显示 host 首部包含 "example.com" 的 HTTP 封包。

http.host contains "example.com"

h) 显示数据帧长度不大于 1024 字节的封包。

frame.len <= 1024

Wireshark - 过滤规则的更多相关文章

  1. 【汇总】Wireshark 过滤规则

    作者:Bay0net 时间:2019-07-01 14:20:09 更新: 介绍:记录使用过的 wireshark 过滤规则 0x01. 使用介绍 抓包采用 wireshark,提取特征时,要对 se ...

  2. 【转】wireshark过滤规则

    WireShark过滤语法 1.过滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.add ...

  3. wireshark过滤规则

    WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.ad ...

  4. 转: wireshark过滤规则

    转: http://blog.sina.com.cn/s/blog_48a0f2740100ka71.html WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ...

  5. 【转】WireShark 过滤规则

    原链:[渗透神器系列]WireShark wireshark是一款网络流量抓取分析神器,也是安全工具使用排行中排名第一的工具.使用wireshark必须要牢记一些常用的数据包过滤规则,对于寻找一些特定 ...

  6. 【HTTP】Wireshark过滤规则

    参考:http://jingyan.baidu.com/article/454316ab593170f7a6c03a60.html 语句特点:协议.属性 一.IP过滤: 包括来源IP或者目标IP等于某 ...

  7. 干货,Wireshark使用技巧-过滤规则

    - 过滤规则使用 在抓取报文时使用的规则,称为过滤规则,Wireshark底层是基于Winpcap,因此过滤规则是Winpcap定义的规则,设置过滤规则后,抓到的报文仅包含符合规则的报文,其它报文则被 ...

  8. wireshark常用过滤规则

    wireshark常用过滤规则:(Filter中输入过滤规则)1.源ip过滤:ip.src==1.1.1.1               (过滤源ip为1.1.1.1的包) 2.目的ip过滤:ip.d ...

  9. Wireshark技巧-过滤规则和显示规则

    Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率. 如果要 ...

随机推荐

  1. zoj 1033 与其说是搜索,不如说是枚举

    zoj 与其说是搜索,不如说是枚举,只不过是通过搜索来实现的罢了. 主要是要注意好闰年的判断,特别是要注意好一串数字的划分. 题意其实我也看了一个晚上,才渐渐的看懂. 题意: 给你一个字符串,其中包含 ...

  2. Lisp语言学习的书

    Scheme <How to Design Programs : An Introduction to Programming and Computing>(<程序设计方法>) ...

  3. linux下passwd命令设置修改用户密码

    1.passwd 简单说明: 我们已经学会如何添加用户了,所以我们还要学习设置或修改用户的密码:passwd命令的用法也很多,我们只选如下的几个参数加以说明:想了解更多,请参考man passwd或p ...

  4. MongoDB(索引及C#如何操作MongoDB)(转载)

    MongoDB(索引及C如何操作MongoDB) 索引总概况 db.test.ensureIndex({"username":1})//创建索引 db.test.ensureInd ...

  5. HDU 1166 敌兵布阵 线段树区间求和 更改

    水 #include<iostream> #include<string> #include<algorithm> #include<cstdlib> ...

  6. HW4.34

    import java.util.Scanner; public class Solution { public static void main(String[] args) { Scanner i ...

  7. HW2.2

    import java.util.Scanner; public class Solution { public static void main(String[] args) { Scanner i ...

  8. ios中的容器类 ViewController

    https://developer.apple.com/library/ios/featuredarticles/ViewControllerPGforiPhoneOS/AboutViewContro ...

  9. Windows 2003 VPN配置步骤[转]

    一,服务器端:Windows 2003 VPN代理的配置方法如下: 1.关闭防火墙,用“管理工具”中的“服务”将“Windows Firewall/Internet Connection Sharin ...

  10. SQL Server tables export/import with bcp

    Export tables below bcp wind.wind.WTUser OUT c:\WTUser.bcp -T -N bcp wind.wind.EPPlan OUT c:\EPPlan. ...