wireshark过滤规则及使用方法,wireshark捕获过滤器规则设置

  wireshark过滤规则及使用方法,wireshark捕获过滤器规则设置

  Wireshark中文版作为一款网络包软件,可以实时检测网络数据,传输数据包。用户可以通过浏览Wireshark中文版清楚地了解网络数据的状态。其丰富的功能让网络管理员、网络安全程序员,甚至普通人都可以在生活和工作中使用中文版的Wireshark。网络管理员可以通过它监控和修复网络漏洞,网络安全工程师可以通过它检查恶意程序是否残留在服务器中,普通人可以通过中国版的Wireshark学习网络协议的知识。

  一、过滤HTTP报文

  **http.host==6san.com

  http.host包含6san.com

  //过滤通过指定域名的http数据包,其中主机值不一定是请求中的域名。

  http.response.code==302

  //过滤http响应状态码为302的数据包

  http.response==1

  //过滤所有http响应数据包

  http.request==1

  //过滤所有http请求。好像也可以用http.request

  http.request.method==POST

  //wireshark过滤所有请求模式为POST的http请求数据包。注意POST是大写的。

  http.cookie包含guid

  //过滤包含指定cookie的http数据包

  http . request . uri=="/online/setpoint "

  //过滤请求的uri,取值为域名之后的部分

  http . request . full _ uri==" http://task.browser.360.cn/online/setpoint"

  //你需要使用http.request.full_uri过滤整个带域名的url。

  http.server包含“nginx”

  //过滤http头的服务器字段中带有nginx字符的数据包

  http.content_type=="text/html "

  //过滤content_type就是text/html的http响应和post包,也就是按照文件类型过滤http包。

  http.content_encoding=="gzip "

  //过滤content_encoding是gzip的http包。

  http . transfer _ encoding==" chunked "

  //根据transfer_encoding过滤

  http.content_length==279

  http . content _ length _ header==" 279 "

  //根据content_length的数值进行过滤

  http.server

  //过滤http头中包含服务器字段的所有数据包

  HTTP . request . version==" HTTP/1.1 "

  //过滤http/version 1.1的HTTP数据包,包括请求和响应

  http.response.phrase=="OK "

  //过滤http响应中的短语**

  二、过滤端口

  显示源端口和目的端口分别为80和80的Tcp.port eq 80 //消息。

  tcp.port==80

  tcp.port==80或udp.port==443

  Tcp.dstport==80 //仅显示Tcp协议的目标端口80

  Tcp.srcport==80 //仅显示Tcp协议的源端口80

  Tcp.port=1和tcp.port=80 //过滤器端口范围

  三、过滤协议

  传输控制协议

  用户数据报协议

  阿尔普

  网间控制报文协议

  超文本传送协议(Hyper Text Transport Protocol的缩写)

  简单邮件传输协议

  文件传输协议(File Transfer Protocol的缩写)

  十进位计数制

  msnms

  互联网协议(Internet Protocol的缩写)

  安全套接层

  网络寻呼机

  引导程序协议

  四、过滤mac地址

  Eth.dst==A0:00:00:04:C5:84 //过滤目标mac

  Eth.src eq A0:00:00:04:C5:84 //过滤器源mac

  eth.dst==A0:00:00:04:C5:84

  eth.dst==A0-00-00-04-C5-84

  Eth.addr eq A0:00:00:04:C5:84 //过滤源MAC和目的MAC都等于A0:00:00:04:C5:84。

  五、比较操作符

  Lt小于:小于

  Gt大于

  Ne:等于

  六、报文长度过滤

  Udp.length==100 //这个长度指的是Udp本身的固定长度8加上udp下面的包的总和

  Tcp.len=7指的是ip包(Tcp下面的数据),不包括tcp本身。

  Ip.len==94除了以太网头长度固定为14,其他都是Ip.len,也就是从Ip本身到末端。

  Frame.len==119整个数据包的长度,从eth开始到结束

  七、and or匹配

  和符号联合

  或符号或

  tcp和tcp.port==80

  tcp或udp

  八、 匹配tcp参数

  Tcp.flags显示包含Tcp标志的数据包。

  Tcp.flags.syn==0x02显示包含TCP SYN标志的数据包。TCP . window _ size==0 TCP . flags . reset!=1

  九、过滤报文内容

  Tcp[20]表示20个字符中的1个字符。

  Tcp[20:]表示从20开始,取1个以上的字符。

  Tcp[20:8]表示20中的8个字符。

  TCP[偏移量,n]

  eth . addr[0:3]=00:06:5B

  Udp[8]==14 (14是十六进制0x14)与有效负载的第一个字节0x14匹配的Udp数据包。

  Udp[8:2]==14:05可以是udp[8:2]==1405,只支持连续两个字节。必须用冒号分隔三个以上的字节来表示十六进制。(相当于udp[8]==14和udp[9]==05,1405就是0x1405)

  Udp[8:3]==22:00:f7但不是udp[8:3]==2200f7

  Udp[8:4]==00:04:00:2a,匹配有效负载的前4个字节0x0004002a

  但是udp contains 7c:7c:7d:7d匹配有效载荷中包含0x7c7c7d的udp包,不一定从第一个字节就匹配。

  以上介绍与Wireshark的过滤规则有关。不知道你有没有学过。如果你遇到过这样的问题,你可以按照边肖的方法自己尝试一下。希望能帮你解决问题。谢谢大家!了解更多教程信息,关注我们天地网~ ~ ~ ~

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: