wireshark抓包实战(六),过滤器
目录
wireshark中,过滤器有两种,一种是抓包过滤器,一种是显示过滤器!
抓包过滤器适合大网络环境,配置与抓包之前,可以减轻电脑的负载,更加精确的抓取显示的包。
显示过滤器适合小网络环境,配置与抓包之后,适合进行全网数据包分析,可以动态根据需求显示需要的数据包
一、抓包过滤器
即让wireshark只抓取已定规则的数据包
1.语法来源
抓包过滤器的配置语法派生自libpcap/WinPcap库中tcpdump的语法
种过滤器的配置语法并不相同。
2.语法
(1)关键要素
①type ===> 类型
host(本机)、net(网段)、port(端口)
②dir
src(源地址)、dst(目的地址)
③proto
ether、ip、tcp、udp、icmp、http、ftp、oicq(QQ封装协议)、broadcast(广播)、multicast(多播)、arp、等
④逻辑运算符
&&(与)、||(或)、!(非)
(2)命令语句
[协议类型] [src/dst] [类型] [类型值] [&&/||/!] ~
例如:
ip dst host 192.168.1.6 && dst port 80
二、显示过滤器
1.语法来源
显示过滤器的配置语法则在若干年后定义
即让wireshark从抓的包中仅显示已定规则的数据包
2.关键要素
(1)条件操作符
== | eq | 等于 |
ip.addr == 192.168.1.1 ip.addr eq 192.168.1.1 |
!= | ne | 不等于 |
!ip.addr==192.168.1.1 或 或 |
> | gt | 高(长、 大) 于 | frame.len > 64 |
< | lt | 低(短、 小) 于 | frame.len < 1500 |
>= | ge | 不高(长、 大) 于 | frame.len >= 64 |
<= | le | 不低(短、 小) 于 | frame.len <= 1500 |
contains | 包含某个(串) 字符 | http.request.uri contains "/wp-login.php" | |
matches | 某串字符匹配某个条件 | http.response.version matches "1" |
(2)逻辑操作符
简 |
标识符 | 描 述 | 举例 |
and | 逻 辑 与 | ip.src==10.0.0.1 and tcp.flags.syn==1 IP主机10.0.0.1建立或尝试建立TCP连接时发出的首个数据包 |
or | 逻 辑 或 | ip.addr==10.0.0.1 or ip.addr==10.0.02 所有发往或源于IP主机10.0.0.1或10.0.0.2的数据包。 |
not | 逻 辑 非 | not arp and not icmp 除ARP和ICMP数据包之外的所有数据包 |
(3)过滤源
①IP过滤
ip.addr ===> IP地址
ip,src ===> 源IP地址
ip.dst ===> 目的IP地址
②端口过滤
tcp.port ===> tcp端口
tcp,srcport ===> tcp源端口
tcp.dstport ===> tcp目的端口
udp.port ===> udp端口
udp.srcport ===> udp源端口
udp.dstport ===> udp目的端口
③协议过滤
tcp、udp、http、arp、eth、icmp、ip、ipv6、dns、ftp、dhcp、nfs、oicq、smb......
④基础知识
ipv4报头
tcp报头
⑤注意事项
TTL字段是IP包头中非常有用的字段。 通过该字段值, 就能弄清IP 包所穿越的路由器的台数。 在默认情况下, 由不同操作系统生成的IP包 的TTL字段值都比较固定,只有64、 128和256这三种。
wireshark抓包实战(六),过滤器的更多相关文章
- wireshark抓包实战(二),第一次抓包
1.选择网卡. 因为wireshark是基于网卡进行抓包的,所以这时候我们必须选取一个网卡进行抓包.选择网卡一般有三种方式 (1)第一种 当我们刚打开软件是会自动提醒您选择,例如: (2)第二种 这时 ...
- wireshark抓包实战(五),首选项设置和基本的抓包设置
一.首选项 首选项一般是修改软件底层的一些默认参数 选中编辑,点击首选项按钮 二.抓包选项设置 点击捕获,选中选项 1.捕获网卡设置 2.保存文件方式设置 很多情况下wireshark会保存很大的数据 ...
- wireshark抓包实战(一),抓包原理
一.什么样的"包"能被wireshark抓住呢? 1.本机 即直接抓取进出本机网卡的流量包.这种情况下,wireshark会绑定本机的一块网卡. 2.集线器 用于抓取流量泛洪,冲突 ...
- wireshark抓包实战(八),专家分析
专家分析是干什么的?它可以帮你统计当前所抓包中丢包.错包等等的出现概率 其中关键字如下: error ===> 出错包 warning ===> 警告包 note ===> 注意包 ...
- wireshark抓包实战(七),数据流追踪
方法一 选中一个包,然后右键选择 "追踪流" ==> "xx流" 方法二 选中某个数据包后,点击 "分析" ===> " ...
- wireshark抓包实战(四),数据包的操作
1.标记数据包 当我们找到一个数据包感觉它很重要时,想要让它更明显怎么办呢?让它高亮即可! 具体操作: 选中某个条目,右键mark即可 2.为数据包添加注释 选中包以后,右键"分组注释&qu ...
- wireshark抓包实战(三),界面菜单管理
1.默认列的增删查改 (1)增加列 选中某个关键词,然后右键应用为列 (2)修改列 选中某个列,右键编辑列 (3)删除列 选中某个列,然后选择移除该列 2.修改时间显示格式 依次选中"视图& ...
- wireshark 抓包过滤器使用
目录 wireshark 抓包过滤器 一.抓包过滤器 二.显示过滤器 整理自陈鑫杰老师的wireshark教程课 wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足 ...
- wireshark 抓包过滤器
wireshark 抓包过滤器 https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤 ...
随机推荐
- 附014.Kubernetes Prometheus+Grafana+EFK+Kibana+Glusterfs整合解决方案
一 glusterfs存储集群部署 注意:以下为简略步骤,详情参考<附009.Kubernetes永久存储之GlusterFS独立部署>. 1.1 架构示意 略 1.2 相关规划 主机 I ...
- Java-字节输入输出。(新手)
参考手册: BufferedInputStream BufferedOutputStream 实例: import java.io.*; /* * 文件的复制方式 * 1 字节流读写单个字节 * 2 ...
- Git 的简单使用及ssh配置问题-赖大大
软件安装 第一步当然是安装啦. 官方网址:https://git-scm.com/ 具体操作 在你本地电脑的文件夹里右击鼠标,选Git base here 显然,你是在本地仓库的master分支上,通 ...
- VS2019 C++动态链接库的创建使用(2) - 客户调用接口
因为动态链接库里的内容是自己定义的,所以在外部程序调用时我们自己知道库里包含哪些变量和函数,如果我们提供库给其他人使用,则最好增加一个头文件,告知库里包含的函数: ①将动态链接库源文件内容增加红色框内 ...
- mysql存储过程简单用法
show procedure status 查看所有存储过程 <!-- 简单存储过程 --> 先将结束符改成// delimiter // create procedure query ...
- 插了带蠕虫的U盘后,文件不见了怎么快速恢复
朋友插了别人U盘,电脑中毒,找到我,在网上找了一些教程,好多都是用杀软的,懒的下,亲测本教程简单有效 首先,我们创建了一个reg文件(注册表文件),如下, 利用REG文件我们可以直接对注册表进行任何修 ...
- PhpStorm+XAMPP+Xdebug 集成开发和断点调试环境配置
0x01 Xdebug安装 参考:https://xdebug.org/docs/install cd xdebug-/ phpize sudo ./configure --enable-xdebug ...
- 谷歌开发者:看可口可乐公司是怎么玩转 TensorFlow 的?
在这篇客座文章中,可口可乐公司的 Patrick Brandt 将向我们介绍他们如何使用 AI 和 TensorFlow 实现无缝式购买凭证. 可口可乐的核心忠诚度计划于 2006 年以 MyCoke ...
- 一个完整的机器学习项目在Python中演练(三)
大家往往会选择一本数据科学相关书籍或者完成一门在线课程来学习和掌握机器学习.但是,实际情况往往是,学完之后反而并不清楚这些技术怎样才能被用在实际的项目流程中.就像你的脑海中已经有了一块块"拼 ...
- Python——交互式图形编程
一. 1.图形显示 图素法 像素法 图素法---矢量图:以图形对象为基本元素组成的图形,如矩形. 圆形 像素法---标量图:以像素点为基本单位形成图形 2.图形用户界面:Graphical User ...