wireshark过滤规则及使用方法,wireshark捕获过滤器规则设置
Wireshark中文版作为一款网络包软件,可以实时检测网络数据,传输数据包。用户可以通过浏览Wireshark中文版清楚地了解网络数据的状态。其丰富的功能让网络管理员、网络安全程序员,甚至普通人都可以在生活和工作中使用中文版的Wireshark。网络管理员可以通过它监控和修复网络漏洞,网络安全工程师可以通过它检查恶意程序是否残留在服务器中,普通人可以通过中国版的Wireshark学习网络协议的知识。
一、过滤HTTP报文
**http.host==6san.com
http.host包含6san.com
//过滤通过指定域名的http数据包,其中主机值不一定是请求中的域名。
http.response.code==302
//过滤http响应状态码为302的数据包
http.response==1
//过滤所有http响应数据包
http.request==1
//过滤所有http请求。好像也可以用http.request
http.request.method==POST
//wireshark过滤所有请求模式为POST的http请求数据包。注意POST是大写的。
http.cookie包含guid
//过滤包含指定cookie的http数据包
http . request . uri=="/online/setpoint "
//过滤请求的uri,取值为域名之后的部分
http . request . full _ uri==" http://task.browser.360.cn/online/setpoint"
//你需要使用http.request.full_uri过滤整个带域名的url。
http.server包含“nginx”
//过滤http头的服务器字段中带有nginx字符的数据包
http.content_type=="text/html "
//过滤content_type就是text/html的http响应和post包,也就是按照文件类型过滤http包。
http.content_encoding=="gzip "
//过滤content_encoding是gzip的http包。
http . transfer _ encoding==" chunked "
//根据transfer_encoding过滤
http.content_length==279
http . content _ length _ header==" 279 "
//根据content_length的数值进行过滤
http.server
//过滤http头中包含服务器字段的所有数据包
HTTP . request . version==" HTTP/1.1 "
//过滤http/version 1.1的HTTP数据包,包括请求和响应
http.response.phrase=="OK "
//过滤http响应中的短语**
二、过滤端口
显示源端口和目的端口分别为80和80的Tcp.port eq 80 //消息。
tcp.port==80
tcp.port==80或udp.port==443
Tcp.dstport==80 //仅显示Tcp协议的目标端口80
Tcp.srcport==80 //仅显示Tcp协议的源端口80
Tcp.port=1和tcp.port=80 //过滤器端口范围
三、过滤协议
传输控制协议
用户数据报协议
阿尔普
网间控制报文协议
超文本传送协议(Hyper Text Transport Protocol的缩写)
简单邮件传输协议
文件传输协议(File Transfer Protocol的缩写)
十进位计数制
msnms
互联网协议(Internet Protocol的缩写)
安全套接层
网络寻呼机
引导程序协议
四、过滤mac地址
Eth.dst==A0:00:00:04:C5:84 //过滤目标mac
Eth.src eq A0:00:00:04:C5:84 //过滤器源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
Eth.addr eq A0:00:00:04:C5:84 //过滤源MAC和目的MAC都等于A0:00:00:04:C5:84。
五、比较操作符
Lt小于:小于
Gt大于
Ne:等于
六、报文长度过滤
Udp.length==100 //这个长度指的是Udp本身的固定长度8加上udp下面的包的总和
Tcp.len=7指的是ip包(Tcp下面的数据),不包括tcp本身。
Ip.len==94除了以太网头长度固定为14,其他都是Ip.len,也就是从Ip本身到末端。
Frame.len==119整个数据包的长度,从eth开始到结束
七、and or匹配
和符号联合
或符号或
tcp和tcp.port==80
tcp或udp
八、 匹配tcp参数
Tcp.flags显示包含Tcp标志的数据包。
Tcp.flags.syn==0x02显示包含TCP SYN标志的数据包。TCP . window _ size==0 TCP . flags . reset!=1
九、过滤报文内容
Tcp[20]表示20个字符中的1个字符。
Tcp[20:]表示从20开始,取1个以上的字符。
Tcp[20:8]表示20中的8个字符。
TCP[偏移量,n]
eth . addr[0:3]=00:06:5B
Udp[8]==14 (14是十六进制0x14)与有效负载的第一个字节0x14匹配的Udp数据包。
Udp[8:2]==14:05可以是udp[8:2]==1405,只支持连续两个字节。必须用冒号分隔三个以上的字节来表示十六进制。(相当于udp[8]==14和udp[9]==05,1405就是0x1405)
Udp[8:3]==22:00:f7但不是udp[8:3]==2200f7
Udp[8:4]==00:04:00:2a,匹配有效负载的前4个字节0x0004002a
但是udp contains 7c:7c:7d:7d匹配有效载荷中包含0x7c7c7d的udp包,不一定从第一个字节就匹配。
以上介绍与Wireshark的过滤规则有关。不知道你有没有学过。如果你遇到过这样的问题,你可以按照边肖的方法自己尝试一下。希望能帮你解决问题。谢谢大家!了解更多教程信息,关注我们天地网~ ~ ~ ~
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。