wireshake数据包分割及捕包过滤器介绍

by:授客 QQ:1033553122

wireshake自带工具editcap分割数据包

操作:

进入到目录,然后 editcap.exe -c <输出文件所包含的数据包个数><要分割的数据包><被分割后的数据包名称前缀及后缀>

举例:

D:\Program Files\Wireshark>editcap.exe -c 60000 pcap_00012_20130130103516.pcap zhiye.pcap

附:Wireshark在线用户手册

http://man.lupaworld.com/content/network/wireshark

附:捕包过滤字段

http://man.he.net/man7/pcap-filter

常用捕包过滤器

src host host #仅捕源主机为host的数据包

举例:src host 10.5.8.185

host host #仅捕源主机为host或目的主机为host的数据包

举例:host 10.5.8.185

以上的任何一个过滤表达式都可以这样写在前面加些关键词:ip,arp,rarp,ip6,格式形如:ip host host,ip src host host,如果host是一个多ip主机名,则每个ip地址都会进行匹配检测并捕获

ether dst ehost #仅捕获目的主机为ehost的数据包,ehost可能是一个来自/etc/ethers的主机名或者一个数字

ether src ehost #仅捕获目的主机为ehost的数据包

ether host ehost #仅捕获目的主机为ehost或者源主机为ehost的数据包

gateway host #仅捕获网关为host的数据包

dst net net  #仅捕获给定网络的数据包,net可以是来自网络数据库的名字,或者一个网络号

举例:dst net 10.4 #捕获10.4网段的数据包

net net/len  #仅捕获给定网段的数据包

举例:net 10.4.0.0/16

port number #仅捕获指定端口number号的数据包

举例:捕获来自tcp、udp 端口80的协议数据包

port 80

 

tcp port http #捕获来自http tcp 端口80的数据包

 

tcp #仅捕获tcp协议数据包

udp #仅捕获udp协议数据包

 

dst port port  #仅捕获目标端口为port的数据包一般都是tcp,udp等占用的端口,端口可以是/etc/services的一个名字,也可以是个数字,如果名字存在歧义时仅进行端口数值的匹配

举例:dst port 137

src port port  #仅捕获源端口为port的数据包

举例:src port 455

dst portrange port1-port2 #仅捕获目的端口在port1到port2之间的数据包

举例:dst portrange 1-400

 

src portrange port1-port2  #仅捕获源端口在port1到port2之间的数据包

举例:dst portrange 1-400

说明:以上端口或端口范围表达式前可以加关键词:tcp、udp,形如:                   tcp

 

src port port  #仅捕获tcp协议且源端口为port端口的的数据包

less length  #仅捕获包长(个人理解:数据帧长度(Frame length))小于等于length的数据包等同 len <= length.

greater length #仅捕获包长大于等于length的数据包等同len >= length.

ip protochain protocol  等同ip6 protochain protocol,但是这个用于ipv4

ether broadcast  #捕获以太网广播包.

ip broadcast #捕获ipv4广播包,检测全0到全1的广播会话,并且查找正在捕包接口的子网掩码,如果捕包接口的子网掩码不可获取,可能是因为接口没设置子网掩码,或者捕包接口为linux的“any”任意接口,这样会捕获多余一个接口的数据,这个会导致捕包不正确

ether multicast #捕获以太网组播数据包

ip multicast #捕获ipv4组播数据包

ip6 multicast #捕获ipv6组播数据包

not broadcast and not multicast #不捕获广播和组播数据包

ip #仅捕获包含指定ip的数据包

 

not arp #不捕获arp数据包

 

decnet src host  #捕获DECNET源地址为host的数据包,host可以是一个DECENT主机名或者一个形如10.123的地址[DECNET   host  name  support is only available on ULTRIX systems that are configured to run DECNET.]

decnet dst host #捕获DECNET目的地址为host的数据包

decnet host host #捕获DECNET源地址或目的地址为host的数据包

ifname interface #捕获来自指定interface 的数据  (applies  only  to  packets  logged  by  OpenBSD's or FreeBSD's).

on interface   #同ifname interface.

rnr num  #捕获同指定pf规则号(applies only to packets logged by OpenBSD's or FreeBSD's)匹配的数据包

Wireshark wireshake数据包分割及捕包过滤器介绍的更多相关文章

  1. IM通信协议逆向分析、Wireshark自定义数据包格式解析插件编程学习

    相关学习资料 http://hi.baidu.com/hucyuansheng/item/bf2bfddefd1ee70ad68ed04d http://en.wikipedia.org/wiki/I ...

  2. Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark数据抓包教程之Wireshark捕获数据 Wireshark抓包方法 在使用Wireshark捕获以太网数据,可以捕获分析到自己的数据包,也可以去捕获同一局域网内,在知道对方IP地址 ...

  3. #WEB安全基础 : HTTP协议 | 0x7 学会使用wireshark分析数据包

    wireshark是开源,免费,跨平台的抓包分析工具 我们可以通过wireshark学习HTTP报文和进行抓包分析,在CTF中的流量分析需要用到抓包 1.下载和安装 这是wireshark的官网 ht ...

  4. 给libpcap增加一个新的捕包方法

    libpcap是一个网络数据包捕获函数库,功能非常强大,提供了系统独立的用户级别网络数据包捕获接口,Libpcap可以在绝大多数类unix 平台下工作.大多数网络监控软件都以它为基础,著名的tcpdu ...

  5. 【转】详解使用tcpdump、wireshark对Android应用程序进行抓包并分析

    原文网址:http://blog.csdn.net/gebitan505/article/details/19044857 本文主要介绍如何使用tcpdump和wireshark对Android应用程 ...

  6. SSL/TLS捕包分析

    一.基本概念 SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层.SSL通过互相认证.使用数字签名确保完整性.使用加密确保私密 ...

  7. Wireshark抓包工具解析HTTPS包

    目录 一.遇到的问题 二.解决方案 1. 动态生成签名证书 2. Wireshark配置 3. 最终效果 一.遇到的问题 本学期的计算机网络课程需要使用到Wireshark抓包工具进行网络抓包实验,原 ...

  8. 《连载 | 物联网框架ServerSuperIO教程》- 9. 协议过滤器,解决一包多发、粘包、冗余数据

    1.C#跨平台物联网通讯框架ServerSuperIO(SSIO)介绍 <连载 | 物联网框架ServerSuperIO教程>1.4种通讯模式机制. <连载 | 物联网框架Serve ...

  9. 浅谈UDP(数据包长度,收包能力,丢包及进程结构选择)

    UDP数据包长度 UDP数据包的理论长度 udp数据包的理论长度是多少,合适的udp数据包应该是多少呢?从TCP-IP详解卷一第11章的udp数据包的包头可以看出,udp的最大包长度是2^16-1的个 ...

随机推荐

  1. android设备不识别awk命令,缺少busybox

    android设备不识别awk命令,缺少busybox 一.什么是BusyBox ? BusyBox 是标准 Linux 工具的一个单个可执行实现.BusyBox 包含了一些简单的工具,例如 cat ...

  2. odoo开发笔记 -- context上下文

    字段级别 视图级别 窗口动作级别

  3. 基于GTK+3 开发远程控制管理软件(C语言实现)系列 一 开篇

    近期趁公司没项目来,想学习一下C和GTK+3 ,顺道再学习一下Linux下有关网络编程方面的知识. 一.学习知识: 1.C基本语法 2.GTK+3 API学习 GUI相关知识学习 3.Glade使用及 ...

  4. C++:实现类似MFC的IsKindOf功能

    假设需要一个类别库,改类别库共包含以下5个类:GrandFather(祖父类).Father(父类).Son(儿子类).Daughter(女儿类).GrandSon(孙子类) 各个类之间的继承关系为: ...

  5. 业余实现一个统计A股数据工具

    自己瞎捣鼓了几天 python,数据来源新浪财经,每天收盘启动爬虫抓取一遍,web 端呈现日线与周线数据:实时图表显示上证指数与个股指数等.技术点:scrapy apscheduler sqlalch ...

  6. vue导出excel数据表格功能

    前端工作量最多的就是需求,需求就是一直在变,比如当前端数据写完之后,需要用Excel把数据下载出来. 第一步安装依赖包,需要把代码下载你的项目当中 cnpm install  file-saver c ...

  7. springboot-31-springboot静态注入

    springboot中 使用 @Autowired 注入时, 是可以为静态变量进行注入的 package com.iwhere.footmark.tools; import org.springfra ...

  8. Bootstrap in ASP.NET MVC 5

    一,新建ASP.NET MVC 5 项目 Bootstrap 文件分布 引入到页面 1.定义.注意:不要包含有.min.的文件名称,会被忽略,因为在发布的时候编译器会加载min版的文件 2.在母版页中 ...

  9. 查看mongodb的状态

    1.mongotop #mongotop -h 127.0.0.1:27017 -u test -p test123 --authenticationDatabase admin 输出说明: ns:包 ...

  10. js闭包应用

    先来看一个例子: function foo() { var a = 10; function bar() { a *= 2; return a; } return bar; } var baz = f ...