整理自陈鑫杰老师的wireshark教程课

wireshark 抓包过滤器

过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件的包丢弃,只保留满足条件的包,而显示过滤器则是对已抓取的包做过滤,过滤出满足条件的包。

显示过滤器可以保留全部的报数据,方便后期做流量分析,而抓包过滤器保留的数据有限,后期分析有局限性。

一、抓包过滤器

wireshark抓包是基于其内部的libpcap/wincap库

打开软件时直接在filter栏输入过滤规则即可,如下以wireshark2.6举例

Capture --> Options

使用的是BFP语法(Berkeley Packet Filter),一共四个元素:

  • 类型(Type)

    • host、net、port
  • 方向(Dir)
    • src、dst
  • 协议(Proto)
    • ether、ip、tcp、udp、http、ftp
  • 逻辑运算符
    • && 与
    • || 或
    • ! 非

示例:

抓取源地址为192.168.1.1,目的端口为80的流量

src host 192.168.1.1 && dst port 80

抓取192.168.1.1和192.168.1.2的流量

host 192.168.1.1 || host 192.168.1.2

不要抓取广播包

! broadcast

过滤mac地址:

ether host 00:88:ca:86:f8:0d

ether src host 00:88:ca:86:f8:0d

ether dst host 00:88:ca:86:f8:0d

过滤IP地址:

host 192.168.1.1

src host 192.168.1.1

dst host 192.168.1.1

过滤端口:

port 80

!port 80

dst port 80

src port 80

过滤协议:

arp

icmp

结合逻辑符号综合过滤

host 192.168.1.1 && port 8080

二、显示过滤器

使用显示过滤器需先用软件进行抓包,然后在软件filter栏输入过滤规则:

比较符:

  • == 等于
  • != 不等于

  • > 大于

  • < 小于
  • >= 大于等于

  • <= 小于等于

逻辑操作符:

  • and 两个条件同时满足
  • or 其中一个条件被满足
  • xor 有且仅有一个条件被满足
  • not 没有条件被满足

ip地址:

  • ip.addr ip地址
  • ip.src 源ip
  • ip.dst 目标ip

端口过滤:

  • tcp.port
  • tcp.srcport
  • tcp.dstport
  • tcp.flags.syn 过滤包含tcp的syn请求的包
  • tcp.flags.ack 过滤包含tcp的ack应答的包

协议过滤:

arp、ip、icmp、udp、tcp、bootp、dns等

示例:

过滤IP地址:

ip.addr == 192.168.1.1   过滤该地址的包

ip.src == 172.16.1.1  过滤源地址为该地址的包

过滤端口:

tcp.port == 80 过滤tcp中端口号为80的包

tcp.flags.syn == 1 过滤syn请求为1的包

结合逻辑符综合过滤:

ip.src == 192.168.1.1 and ip.dst == 172.16.1.1

Wireshark抓包参数的更多相关文章

  1. Wireshark抓包分析/TCP/Http/Https及代理IP的识别

    前言 坦白讲,没想好怎样的开头.辗转三年过去了.一切已经变化了许多,一切似乎从没有改变. 前段时间调研了一次代理相关的知识,简单整理一下分享之.如有错误,欢迎指正. 涉及 Proxy IP应用 原理/ ...

  2. tcpdump命令抓包参数

    在 Linux 命令行中使用 tcpdump 抓包 通过实例学习tcpdump命令 聊聊 tcpdump 与 Wireshark 抓包分析 tcpdump常用参数 -n 显示IP地址和端口号 -v 显 ...

  3. TCP协议基础知识及wireshark抓包分析实战

    TCP相关知识 应swoole长连接开发调研相关TCP知识并记录. 数据封包流程 如图,如果我需要发送一条数据给用户,实际的大小肯定是大于你发送的大小,在各个数据层都进行了数据的封包,以便你的数据能完 ...

  4. Mac OS X上使用Wireshark抓包

    Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11).Mac OS X在Mountain Lion之后放弃X11,取而代之的是开源的X ...

  5. TCP/IP详解卷1 - wireshark抓包分析

    TCP/IP详解卷1 - 系列文 TCP/IP详解卷1 - 思维导图(1) TCP/IP详解卷1 - wireshark抓包分析 引言 在初学TCP/IP协议时,会觉得协议是一种很抽象的东西,通过wi ...

  6. 使用wireshark抓包分析-抓包实用技巧

    目录 使用wireshark抓包分析-抓包实用技巧 前言 自定义捕获条件 输入配置 输出配置 命令行抓包 抓取多个接口 抓包分析 批量分析 合并包 结论 参考文献 使用wireshark抓包分析-抓包 ...

  7. 使用Fiddler抓包、wireshark抓包分析(三次握手、四次挥手深入理解)

    ==================Fiddler抓包================== Fiddler支持代理的功能,也就是说你所有的http请求都可以通过它来转发,Fiddler代理默认使用端口 ...

  8. Wireshark 抓包过滤器学习

    Wireshark 抓包过滤器学习 wireshark中,分为两种过滤器:捕获过滤器 和 显示过滤器 捕获过滤器 是指wireshark一开始在抓包时,就确定要抓取哪些类型的包:对于不需要的,不进行抓 ...

  9. http2 技术整理 nginx 搭建 http2 wireshark 抓包分析 server push 服务端推送

    使用 nginx 搭建一个 http2 的站点,准备所需: 1,域名 .com .net 均可(国内域名需要 icp 备案) 2,云主机一个,可以自由的安装配置软件的服务器 3,https 证书 ht ...

随机推荐

  1. vue+element对常用表格的简单封装

    在后台管理和中台项目中, table是使用率是特别的高的, 虽然element已经有table组件, 但是分页和其他各项操作还是要写一堆的代码, 所以就在原有的基础上做了进一步的封装 所涵盖的功能有: ...

  2. java13编程基础之数组深入

    大纲一维数组概述数组是相同类型数据的有序集合.数组描述的是相同类型的若干个数据,按照一定的先后次序排列组合而成.其中,每一个数据称作一个元素,每个元素可以通过一个索引(下标)来访问它们. 这些按序排列 ...

  3. Salesforce 大数据量处理篇(一)Skinny Table

    本篇参考:https://developer.salesforce.com/docs/atlas.en-us.salesforce_large_data_volumes_bp.meta/salesfo ...

  4. Thread线程控制之sleep、join、setDaemon方法的用处

    Thread线程控制之sleep.join.setDaemon方法的用处 1. sleep方法 public static void sleep(long millis) throws Interru ...

  5. Spring Boot Security 国际化 多语言 i18n 趟过巨坑

    网上很多的spring boot国际化的文章都是正常情况下的使用方法 如果你像我一样用了Spring Security 那么在多语言的时候可能就会遇到一个深渊 Spring Security里面的异常 ...

  6. SpringBoot整合Shiro完成认证

    三.SpringBoot整合Shiro思路 首先从客户端发来的所有请求都经过Shiro过滤器,如果用户没有认证的都打回去进行认证,认证成功的,再判断是否具有访问某类资源(公有资源,私有资源)的权限,如 ...

  7. 【EXP】exp-00091解决办法

    如果遇到exp的话一般都是因为字符集的问题 解决办法: 1.在oracle中查看数据库的字符集 SQL> select userenv('language') from dual; USEREN ...

  8. LR参数

    一.LR函数 : lr_start_transaction:   为性能分析标记事务的开始 lr_end_transaction: 为性能分析标记事务的结束:事务名称与事务开始时保持一致 lr_ren ...

  9. SAP里会话结束方法(杀死进程)

    在SAP的ERP里,有很多方法可以结束一个会话,然而在不同情况下,需要使用的方法也不同.下面从先后顺序来简单说明:1.SM04:最常用的方法,在SM04点击工具栏的会话->结束会话,来关闭一个会 ...

  10. typora+PicGo+gitee搭建免费的的床

    一.gitee 1.第一步拥有自己的gitee账号 没有的可以自己去注册gitee地址 2.使用自己的gitee账号创建仓库 创建好之后注意 记住.com/以后的地址 此处就为y***L/photo- ...