实验目的

1、工具介绍

2、主要应用

实验原理

1、网络管理员用来解决网络问题

2、网络安全工程师用来检测安全隐患

3、开发人员用来测试执行情况

4、学习网络协议

实验内容

1、抓取特定数据流

2、显示特定数据流

实验环境描述

实验环境描述

1、学生机与实验室网络直连;

2、VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通;

pc机:Windows7旗舰版

实验步骤

首先打开桌面上的wireshark工具

Wireshark过滤器

抓取特定流量过滤器是在抓包的时候只抓取过滤条件的包,显示过滤器是在有多种流量的情况下,显示具备过滤条件的包

抓取特定数据流

首先在这里建议大家尽量避免使用抓取特定流量过滤。即便多看几个报文,也比漏看一个报文要好。当你抓取了大量报文的时候,用显示过滤(过滤选项也更多)来重点查看某一数据流。

应用抓取特定流量过滤,在 Capture下打开Capture Options设置窗口

这里可以设置抓取特定流量过滤条件,如果你确定过滤条件的语法,直接在Capture Filter区域输入。在输入错误时,Wireshark通过红色背景区域表明无法处理过滤条件。最有可能的情况是,过滤条件中含有输入错误,或是使用了display filter的语法。

点击Capture Filter 按钮查看并选择已保存的过滤条件

1、抓取基于MAC的数据流

当你需要抓取发到/来自某一主机的IPv4或IPv6数据流,可创建基于主机MAC地址的抓包过滤条件。应用MAC地址时,需确保与目标主机处于同一网段。

ether host 6C-C6-7C-B8-68-01:抓取发送到/来自6C-C6-7C-B8-68-01的数据流

ether src 6C-C6-7C-B8-68-01:抓取来自6C-C6-7C-B8-68-01的数据流

ether dst 6C-C6-7C-B8-68-01:抓取发到6C-C6-7C-B8-68-01的数据流

not ether host 6C-C6-7C-B8-68-01:抓取除了发到/来自6C-C6-7C-B8-68-01以外的所有数据流

ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取广播报文

ether multicast:抓取多播报文

抓取指定以太网类型的报文:ether proto 0800

抓取指定VLAN:vlan (vlan number)

抓取指定几个VLAN:vlan (vlan number)and vlan (vlan number)

例:ether host 6C-C6-7C-B8-68-01

显示信息发送到/来自6C-58-67-9B-C7-01的数据流

例:ether src host 6C-58-67-9B-C7-01

显示来自6C-58-67-9B-C7-01的数据流

2、抓取基于IP的数据流

如果你的抓包环境下有很多主机正在通讯,可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例:

host 172.16.1.69:抓取发到/来自172.16.1.69的数据流

host 2406:da00:ff00::6b16:f02d:抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流

not host 172.16.1.69:抓取除了发到/来自172.16.1.69以外的所有数据流

src host 172.16.1.69:抓取来自172.16.1.69的数据流

dst host 172.16.1.69:抓取发到172.16.1.69的数据流

host 172.16.1.69 or 172.16.1.70:抓取发到/来自172.16.1.69以及与通讯的数据流,抓取发到/来自192.168.11.254以及与通讯的所有数据流

例: src host 172.16.1.69

显示信息,所有的包都是来自172.16.1.69的数据流

3、抓取基于端口的数据流

你可能需要查看基于一个或几个应用的数据流。抓包过滤器语法无法识别应用名,因此需要根据端口号来定义应用。通过目标应用的TCP或UDP端口号,将不相关的报文过滤掉。

port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)

not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)

udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)

tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)

portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流

(可自行尝试)

当你需要抓取多个不连续端口号的数据流,将它们通过逻辑符号连接起来。

port 20 or port 21:抓取发到/来自端口20或21的UDP/TCP数据流(典型是FTP数据和命令端口)

host 10.3.1.1 and port 80:抓取发到/来自10.3.1.1端口80的数据流

host 10.3.1.1 and not port 80:抓取发到/来自10.3.1.1除了端口80以外的数据流

udp src port 68 and udp dst port 67:抓取从端口68到端口67的所有UDP数据流(典型是从DHCP客户端到DHCP服务器)

udp src port 67 and udp dst port 68:抓取从端口67到端口68的所有UDP数据流(典型是从DHCP服务器到DHCP客户端)

抓取TCP连接的开始(SYN)和结束(FIN)报文,配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0

抓取所有RST(Reset)标志位为1的TCP报文,配置tcp[tcpflags] & (tcp-rst)!=0

less (length):抓取小于等于某一长度的报文,等同于len <=(length)

greater (length):抓取大于等于某一长度的报文,等同于len >=(length)

4、抓取基于指定协议的数据流

你可能需要查看基于一个或几个协议的数据流。通过目标应用的TCP、UDP或在TCP、UDP后加上端口号,将不相关的报文过滤掉。

icmp:抓取发到/来自icmp的数据流

port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)

not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)

udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)

tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)

portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流

显示特定数据流

显示过滤器可基于协议,应用,域名,或字符,对大小写敏感。绝大多数简单的显示过滤器由小写字母组成。与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。

5、基于IP地址或主机报文过滤

对于IPv4数据流,我们使用字段名ip.src,ip.dst,ip.addr;对于IPv6数据流,使用ipv6.src,ipv6.dst,ipv6.host以及ipv6.addr。

ip.addr==172.16.1.69显示在IP源地址字段或IP目的地址字段包含172.16.1.69的帧。

ip.src==172.16.1.69显示所有来自172.16.1.69的数据流。

ip.dst==172.16.1.69显示所有发往172.16.1.69的数据流

!ip.addr==172.16.1.69显示除了在IP源地址字段或IP目的地址字段包含172.16.1.69以外的帧

例如在filter栏输入ip.dst ==172.16.1.79

显示信息,所有发往172.16.1.79的数据流

ip.src == 172.16.1.79 and ip.dst ==172.16.1.79 过滤源IP为172.16.1.79,目的IP为172.16.1.255的通信数据包

显示信息,源IP172.16.1.79,目的IP172.16.1.255的数据包

6、基于端口号的过滤

tcp.port == 80过滤tcp的80端口

协议过滤器

arp:显示所有包括ARP请求和回复在内的所有ARP数据流。

ip:显示内含IPv4头在内的(如ICMP目的地址不可达报文,在ICMP报文头之后返回到来方向的IPv4头)IP数据流。

ipv6:显示所有IPv6数据流,包括内含IPv6报文头的IPv4报文,如6to4,Teredo,以及ISATAP数据流。

tcp:显示所有基于TCP的数据流。

7、字符过滤器:

tcp.analysis.flags:显示所有包含TCP分析标识的所有报文,包括报文丢失,重传,或零窗口标识。

tcp.analysis,zero_window:显示含有表明发送方的接收缓存用完标识的报文

例tcp.flags.syn == 1:过滤三次握手fsyn=1的数据包

8、显示运算符

通过扩展过滤条件可查找某一域值,Wireshark针对此功能支持数字比较运算符。我整理出来几种类型,这里就不一一给大家查看结果了,

==或eq

例如:ip.src == 10.2.2.2显示所有源地址为10.2.2.2的IPv4数据流

!=或ne

例如:tcp.srcport != 80显示源端口除了80以外的所有TCP数据流

或gt

例如:frame.time_relative > 1 显示距前一个报文到达时间相差1秒的报文

<或lt

例如:tcp.window_size < 1460 显示当TCP接收窗口小于1460字节时的报文

=或ge

例如:dns.count.answers >= 10 显示包含10个以上answer的DNS响应报文

<=或le

例如:ip.ttl <= 10 显示IP报文中Time to Live字段小于等于10的报文

contains

例如:http contains “GET” 显示所有HTTP客户端发送给HTTP服务器的GET请求

运算符两边不用留空格。ip.src == 10.2.2.2与ip.src==10.2.2.2的效果是相同的。

Wireshark教程之过滤器设置的更多相关文章

  1. wireshark常用的过滤器设置

     过滤源ip.目的ip.在wireshark的过滤规则框Filter中输入过滤条件.如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8:查找源地址为ip.src ...

  2. wireshark教程

    Wireshark世界上最流行的网络分析工具. 这个强大的工具能够捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息.与非常多其它网络工具一样.Wireshark也使用pcap network ...

  3. wireshark 抓包过滤器使用

    目录 wireshark 抓包过滤器 一.抓包过滤器 二.显示过滤器 整理自陈鑫杰老师的wireshark教程课 wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足 ...

  4. Wireshark工具创建过滤器的方式

    Wireshark工具创建过滤器的方式  [实例1-3]现在要抓取目的或来源地址为192.168.5.9的封包.在图1.5中添加如下所示的条件: tcp dst port 3128 添加后单击Star ...

  5. phpmyadmin安装教程及配置设置

    phpmyadmin安装教程及配置设置 | 浏览:20304 | 更新:2013-11-07 09:50 1.一般网上下载到的phpmyadmin是一个压缩包,我们将其释放到htdocs目录中,例如h ...

  6. XamarinAndroid组件教程RecylerView适配器设置动画示例

    XamarinAndroid组件教程RecylerView适配器设置动画示例 [示例1-3]下面将在RecylerView的子元素进行滚动时,使用适配器动画.具体的操作步骤如下: (1)创建一个名为R ...

  7. XamarinAndroid组件教程RecylerView适配器设置动画

    XamarinAndroid组件教程RecylerView适配器设置动画 本小节将讲解动画相关设置,如动画的时长.插值器以及复合动画等. 1.设置动画时长 设置动画持续的时间可以使用Animation ...

  8. wireshark捕获/显示过滤器表达式书写规律说明

    一.说明 1.1 背景说明 对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想 ...

  9. vue教程2-06 过滤器

    vue教程2-06 过滤器 过滤器: vue提供过滤器: capitalize uppercase currency.... <div id="box"> {{msg| ...

随机推荐

  1. golang gin框架中实现"Transfer-Encoding: chunked"方式的分块发送数据到浏览器端

    参考了这篇帖子: https://golangtc.com/t/570b403eb09ecc66b90002d9 golang web如何发送小包的chunked数据 以下是代码: r.GET(&qu ...

  2. 论文翻译:2021_DeepFilterNet: A Low Complexity Speech Enhancement Framework for Full-Band Audio based on Deep Filtering

    论文地址:DeepFilterNet:基于深度滤波的全频带音频低复杂度语音增强框架 论文代码:https://github.com/ Rikorose/DeepFilterNet 引用:Schröte ...

  3. gin框架中的会话控制

    Cookie介绍 Http协议是无状态的,服务器不能记录浏览器的访问状态,也就是说服务器不能判断请求的客户端是否已经登录 Cookie就是解决http协议无状态的方案之一 Cookie实际上就是服务器 ...

  4. 集合框架-HashSet集合(无序唯一)

    1 package cn.itcast.p4.hashset.demo; 2 3 import java.util.HashSet; 4 import java.util.Iterator; 5 /* ...

  5. db2日志模式、备份归档、恢复解析

    DB2的日志分为两种模式,日志循环与归档日志,也就是非归档和归档模式.下面就具体介绍一下这两种方式以及和备份归档设置的关系. 一.日志循环 这是默认方式,也就是非归档模式,这种模式只支持(backup ...

  6. hexo博客如何插入图片

    Hexo是一个静态的博客网站生成器,生成一个博客只需要分分钟的时间就能搞定. Hexo的博文是支持Markdown格式的,发表一篇文章只需要简简单单的几个命令. hexo new '文章'就会生成一个 ...

  7. [luoguP4139]上帝与集合的正确用法

    \(\text{Description}\) \(\text{Given a number }p(p\leqslant10^7).\) \(\text{Output }2^{2^{2^{2^{\cdo ...

  8. ql/sql 循环语句、异常处理、事务处理!

    一.ql sql 循环语句? /*1.loop循环 语法: 声明循环变量 loop 判断循环条件 ,如果循环条件不成立,跳出循if 条件表达式 then exit; end if; 语句块; 改变循环 ...

  9. Ubuntu18.04 显卡驱动安装(解决各种疑难杂症)

    步骤 下载驱动 准备工作 进行安装 检查安装 下载驱动 首先我们需要去官网下载显卡驱动 打开浏览器,在百度搜索框中搜索:显卡驱动 下载 在手动搜索驱动程序一栏,根据自己的显卡进行选择 产品系列中,No ...

  10. 学习MyBatis必知必会(6)~Mapper基础的拓展

    一.typeAlias 类型别名[自定义别名.系统自带别名] 1.类型别名:为 Java 类型设置一个缩写名字. 它仅用于 XML 配置,意在降低冗余的全限定类名书写 2.配置自定义别名: (1)方式 ...