wireshake数据包分割及捕包过滤器介绍

by:授客 QQ:1033553122

wireshake自带工具editcap分割数据包

操作:

进入到目录,然后 editcap.exe -c <输出文件所包含的数据包个数><要分割的数据包><被分割后的数据包名称前缀及后缀>

举例:

D:\Program Files\Wireshark>editcap.exe -c 60000 pcap_00012_20130130103516.pcap zhiye.pcap

附:Wireshark在线用户手册

http://man.lupaworld.com/content/network/wireshark

附:捕包过滤字段

http://man.he.net/man7/pcap-filter

常用捕包过滤器

src host host #仅捕源主机为host的数据包

举例:src host 10.5.8.185

host host #仅捕源主机为host或目的主机为host的数据包

举例:host 10.5.8.185

以上的任何一个过滤表达式都可以这样写在前面加些关键词:ip,arp,rarp,ip6,格式形如:ip host host,ip src host host,如果host是一个多ip主机名,则每个ip地址都会进行匹配检测并捕获

ether dst ehost #仅捕获目的主机为ehost的数据包,ehost可能是一个来自/etc/ethers的主机名或者一个数字

ether src ehost #仅捕获目的主机为ehost的数据包

ether host ehost #仅捕获目的主机为ehost或者源主机为ehost的数据包

gateway host #仅捕获网关为host的数据包

dst net net  #仅捕获给定网络的数据包,net可以是来自网络数据库的名字,或者一个网络号

举例:dst net 10.4 #捕获10.4网段的数据包

net net/len  #仅捕获给定网段的数据包

举例:net 10.4.0.0/16

port number #仅捕获指定端口number号的数据包

举例:捕获来自tcp、udp 端口80的协议数据包

port 80

 

tcp port http #捕获来自http tcp 端口80的数据包

 

tcp #仅捕获tcp协议数据包

udp #仅捕获udp协议数据包

 

dst port port  #仅捕获目标端口为port的数据包一般都是tcp,udp等占用的端口,端口可以是/etc/services的一个名字,也可以是个数字,如果名字存在歧义时仅进行端口数值的匹配

举例:dst port 137

src port port  #仅捕获源端口为port的数据包

举例:src port 455

dst portrange port1-port2 #仅捕获目的端口在port1到port2之间的数据包

举例:dst portrange 1-400

 

src portrange port1-port2  #仅捕获源端口在port1到port2之间的数据包

举例:dst portrange 1-400

说明:以上端口或端口范围表达式前可以加关键词:tcp、udp,形如:                   tcp

 

src port port  #仅捕获tcp协议且源端口为port端口的的数据包

less length  #仅捕获包长(个人理解:数据帧长度(Frame length))小于等于length的数据包等同 len <= length.

greater length #仅捕获包长大于等于length的数据包等同len >= length.

ip protochain protocol  等同ip6 protochain protocol,但是这个用于ipv4

ether broadcast  #捕获以太网广播包.

ip broadcast #捕获ipv4广播包,检测全0到全1的广播会话,并且查找正在捕包接口的子网掩码,如果捕包接口的子网掩码不可获取,可能是因为接口没设置子网掩码,或者捕包接口为linux的“any”任意接口,这样会捕获多余一个接口的数据,这个会导致捕包不正确

ether multicast #捕获以太网组播数据包

ip multicast #捕获ipv4组播数据包

ip6 multicast #捕获ipv6组播数据包

not broadcast and not multicast #不捕获广播和组播数据包

ip #仅捕获包含指定ip的数据包

 

not arp #不捕获arp数据包

 

decnet src host  #捕获DECNET源地址为host的数据包,host可以是一个DECENT主机名或者一个形如10.123的地址[DECNET   host  name  support is only available on ULTRIX systems that are configured to run DECNET.]

decnet dst host #捕获DECNET目的地址为host的数据包

decnet host host #捕获DECNET源地址或目的地址为host的数据包

ifname interface #捕获来自指定interface 的数据  (applies  only  to  packets  logged  by  OpenBSD's or FreeBSD's).

on interface   #同ifname interface.

rnr num  #捕获同指定pf规则号(applies only to packets logged by OpenBSD's or FreeBSD's)匹配的数据包

Wireshark wireshake数据包分割及捕包过滤器介绍的更多相关文章

  1. IM通信协议逆向分析、Wireshark自定义数据包格式解析插件编程学习

    相关学习资料 http://hi.baidu.com/hucyuansheng/item/bf2bfddefd1ee70ad68ed04d http://en.wikipedia.org/wiki/I ...

  2. Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark数据抓包教程之Wireshark捕获数据 Wireshark抓包方法 在使用Wireshark捕获以太网数据,可以捕获分析到自己的数据包,也可以去捕获同一局域网内,在知道对方IP地址 ...

  3. #WEB安全基础 : HTTP协议 | 0x7 学会使用wireshark分析数据包

    wireshark是开源,免费,跨平台的抓包分析工具 我们可以通过wireshark学习HTTP报文和进行抓包分析,在CTF中的流量分析需要用到抓包 1.下载和安装 这是wireshark的官网 ht ...

  4. 给libpcap增加一个新的捕包方法

    libpcap是一个网络数据包捕获函数库,功能非常强大,提供了系统独立的用户级别网络数据包捕获接口,Libpcap可以在绝大多数类unix 平台下工作.大多数网络监控软件都以它为基础,著名的tcpdu ...

  5. 【转】详解使用tcpdump、wireshark对Android应用程序进行抓包并分析

    原文网址:http://blog.csdn.net/gebitan505/article/details/19044857 本文主要介绍如何使用tcpdump和wireshark对Android应用程 ...

  6. SSL/TLS捕包分析

    一.基本概念 SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层.SSL通过互相认证.使用数字签名确保完整性.使用加密确保私密 ...

  7. Wireshark抓包工具解析HTTPS包

    目录 一.遇到的问题 二.解决方案 1. 动态生成签名证书 2. Wireshark配置 3. 最终效果 一.遇到的问题 本学期的计算机网络课程需要使用到Wireshark抓包工具进行网络抓包实验,原 ...

  8. 《连载 | 物联网框架ServerSuperIO教程》- 9. 协议过滤器,解决一包多发、粘包、冗余数据

    1.C#跨平台物联网通讯框架ServerSuperIO(SSIO)介绍 <连载 | 物联网框架ServerSuperIO教程>1.4种通讯模式机制. <连载 | 物联网框架Serve ...

  9. 浅谈UDP(数据包长度,收包能力,丢包及进程结构选择)

    UDP数据包长度 UDP数据包的理论长度 udp数据包的理论长度是多少,合适的udp数据包应该是多少呢?从TCP-IP详解卷一第11章的udp数据包的包头可以看出,udp的最大包长度是2^16-1的个 ...

随机推荐

  1. Tornado初探

    Tornado 是 FriendFeed 使用的可扩展的非阻塞式 web 服务器及其相关工具的开源版本.这个 Web 框架看起来有些像web.py 或者 Google 的 webapp,不过为了能有效 ...

  2. PHP:判断客户端是否使用代理服务器及其匿名级别

    要判断客户端是否使用代理服务器,可以从客户端所发送的环境变量信息来判断. 具体来说,就是看HTTP_VIA字段,如果这个字段设置了,说明客户端使用了代理服务器. 匿名级别可以参考下表来判断. 给出一个 ...

  3. (转载)elasticsearch 查询(match和term)

    原文地址:https://www.cnblogs.com/yjf512/p/4897294.html elasticsearch 查询(match和term) es中的查询请求有两种方式,一种是简易版 ...

  4. jieba分词(1)

    近几天在做自然语言处理,看了一篇论文:面向知识库的中文自然语言问句的语义理解,里面提到了中文的分词,大家都知道对于英文的分词,NLTK有很好的支持,但是NLTK对于中文的分词并不是很好(其实也没有怎么 ...

  5. Docker概念学习系列之Docker与传统虚拟机差异(4)

    不多说,直接上干货! 见[博主]撰写的https://mp.weixin.qq.com/s/YihjPONUcUi4b_7RC8oLYw   传统虚拟化是在硬件层面实现虚拟化,需要有额外的虚拟机管理应 ...

  6. 装饰者模式——Java设计模式

    装饰模式 1.概念 动态地为对象附加上额外的职责 其目的是包装一个对象,从而可以在运行时动态添加新的职责.每个装饰器都可以包装另一个装饰器,这样理论上来说可以对目标对象进行无限次的装饰. 2.装饰器类 ...

  7. Go http handler 中间件

    在http的handler处理中加上中间件,可以进行过滤.记录日志.统计和统一返回结果 package main import ( "fmt" "net/http&quo ...

  8. T-SQL触发器,限制一次只能删除一条数据

    /****** Object: Trigger [dbo].[trg_del] Script Date: 01/01/2016 12:58:28 ******/ SET ANSI_NULLS ON G ...

  9. C++ STL 学习

    /* algorithm-算法 */ .copy() //此函数用在vector中只做拷贝使用,它不能让vector有自动扩充作用.如果vector的容量小于它拷贝的数据量将会报错. /* itera ...

  10. C# ABP WebApi与Swagger UI的集成

    本文是配置WebApi与Swagger UI,可以参照 http://www.cnblogs.com/farb/p/ABPSwaggerUIIntegration.html 1. 安装swagger ...