Wireshark教程之过滤器设置

实验目的

1、工具介绍

2、主要应用

实验原理

1、网络管理员用来解决网络问题

2、网络安全工程师用来检测安全隐患

3、开发人员用来测试执行情况

4、学习网络协议

实验内容

1、抓取特定数据流

2、显示特定数据流

实验环境描述

实验环境描述

1、学生机与实验室网络直连;

2、VPC1与实验室网络直连;

3、学生机与VPC1物理链路连通；

pc机：Windows7旗舰版

实验步骤

首先打开桌面上的wireshark工具

Wireshark过滤器

抓取特定流量过滤器是在抓包的时候只抓取过滤条件的包，显示过滤器是在有多种流量的情况下，显示具备过滤条件的包

抓取特定数据流

首先在这里建议大家尽量避免使用抓取特定流量过滤。即便多看几个报文，也比漏看一个报文要好。当你抓取了大量报文的时候，用显示过滤（过滤选项也更多）来重点查看某一数据流。

应用抓取特定流量过滤，在 Capture下打开Capture Options设置窗口

这里可以设置抓取特定流量过滤条件，如果你确定过滤条件的语法，直接在Capture Filter区域输入。在输入错误时，Wireshark通过红色背景区域表明无法处理过滤条件。最有可能的情况是，过滤条件中含有输入错误，或是使用了display filter的语法。

点击Capture Filter 按钮查看并选择已保存的过滤条件

1、抓取基于MAC的数据流

当你需要抓取发到/来自某一主机的IPv4或IPv6数据流，可创建基于主机MAC地址的抓包过滤条件。应用MAC地址时，需确保与目标主机处于同一网段。

ether host 6C-C6-7C-B8-68-01：抓取发送到/来自6C-C6-7C-B8-68-01的数据流

ether src 6C-C6-7C-B8-68-01：抓取来自6C-C6-7C-B8-68-01的数据流

ether dst 6C-C6-7C-B8-68-01：抓取发到6C-C6-7C-B8-68-01的数据流

not ether host 6C-C6-7C-B8-68-01：抓取除了发到/来自6C-C6-7C-B8-68-01以外的所有数据流

ether broadcast或ether dst ff:ff:ff:ff:ff:ff：抓取广播报文

ether multicast：抓取多播报文

抓取指定以太网类型的报文：ether proto 0800

抓取指定VLAN：vlan (vlan number)

抓取指定几个VLAN：vlan (vlan number)ａｎｄ vlan (vlan number)

例：ether host 6C-C6-7C-B8-68-01

显示信息发送到/来自6C-58-67-9B-C7-01的数据流

例：ether src host 6C-58-67-9B-C7-01

显示来自6C-58-67-9B-C7-01的数据流

2、抓取基于IP的数据流

如果你的抓包环境下有很多主机正在通讯，可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例：

host 172.16.1.69：抓取发到/来自172.16.1.69的数据流

host 2406:da00:ff00::6b16:f02d：抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流

not host 172.16.1.69：抓取除了发到/来自172.16.1.69以外的所有数据流

src host 172.16.1.69：抓取来自172.16.1.69的数据流

dst host 172.16.1.69：抓取发到172.16.1.69的数据流

host 172.16.1.69 ｏｒ 172.16.1.70：抓取发到/来自172.16.1.69以及与通讯的数据流，抓取发到/来自192.168.11.254以及与通讯的所有数据流

例： src host 172.16.1.69

显示信息，所有的包都是来自172.16.1.69的数据流

3、抓取基于端口的数据流

你可能需要查看基于一个或几个应用的数据流。抓包过滤器语法无法识别应用名，因此需要根据端口号来定义应用。通过目标应用的TCP或UDP端口号，将不相关的报文过滤掉。

port 53：抓取发到/来自端口53的UDP/TCP数据流（典型是DNS数据流）

not port 53：抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80：抓取发到/来自端口80的UDP/TCP数据流（典型是HTTP数据流）

udp port 67：抓取发到/来自端口67的UDP数据流（典型是DHCP据流）

tcp port 21：抓取发到/来自端口21的TCP数据流（典型是FTP命令通道）

portrange 1-80：抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80：抓取发到/来自端口1-80的所有TCP数据流

(可自行尝试）

当你需要抓取多个不连续端口号的数据流，将它们通过逻辑符号连接起来。

port 20 ｏｒ port 21：抓取发到/来自端口20或21的UDP/TCP数据流（典型是FTP数据和命令端口）

host 10.3.1.1 ａｎｄ port 80：抓取发到/来自10.3.1.1端口80的数据流

host 10.3.1.1 ａｎｄ not port 80：抓取发到/来自10.3.1.1除了端口80以外的数据流

udp src port 68 ａｎｄ udp dst port 67：抓取从端口68到端口67的所有UDP数据流（典型是从DHCP客户端到DHCP服务器）

udp src port 67 ａｎｄ udp dst port 68：抓取从端口67到端口68的所有UDP数据流（典型是从DHCP服务器到DHCP客户端）

抓取TCP连接的开始（SYN）和结束（FIN）报文，配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0

抓取所有RST(Reset)标志位为1的TCP报文，配置tcp[tcpflags] & (tcp-rst)!=0

less (length)：抓取小于等于某一长度的报文，等同于len <=(length)

greater (length)：抓取大于等于某一长度的报文，等同于len >=(length)

4、抓取基于指定协议的数据流

你可能需要查看基于一个或几个协议的数据流。通过目标应用的TCP、UDP或在TCP、UDP后加上端口号，将不相关的报文过滤掉。

icmp：抓取发到/来自icmp的数据流

port 53：抓取发到/来自端口53的UDP/TCP数据流（典型是DNS数据流）

not port 53：抓取除了发到/来自端口53以外的UDP/TCP数据流

port 80：抓取发到/来自端口80的UDP/TCP数据流（典型是HTTP数据流）

udp port 67：抓取发到/来自端口67的UDP数据流（典型是DHCP据流）

tcp port 21：抓取发到/来自端口21的TCP数据流（典型是FTP命令通道）

portrange 1-80：抓取发到/来自端口1-80的所有UDP/TCP数据流

tcp portrange 1-80：抓取发到/来自端口1-80的所有TCP数据流

显示特定数据流

显示过滤器可基于协议，应用，域名，或字符，对大小写敏感。绝大多数简单的显示过滤器由小写字母组成。与捕捉过滤器使用的BPF语法不同，显示过滤器使用的是Wireshark特定的格式。除了某些特例之外，Wireshark显示过滤器和捕捉过滤器有很大的区别。

5、基于IP地址或主机报文过滤

对于IPv4数据流，我们使用字段名ip.src，ip.dst，ip.addr；对于IPv6数据流，使用ipv6.src，ipv6.dst，ipv6.host以及ipv6.addr。

ip.addr==172.16.1.69显示在IP源地址字段或IP目的地址字段包含172.16.1.69的帧。

ip.src==172.16.1.69显示所有来自172.16.1.69的数据流。

ip.dst==172.16.1.69显示所有发往172.16.1.69的数据流

！ip.addr==172.16.1.69显示除了在IP源地址字段或IP目的地址字段包含172.16.1.69以外的帧

例如在filter栏输入ip.dst ==172.16.1.79

显示信息，所有发往172.16.1.79的数据流

ip.src == 172.16.1.79 ａｎｄ ip.dst ==172.16.1.79 过滤源IP为172.16.1.79，目的IP为172.16.1.255的通信数据包

显示信息，源IP172.16.1.79，目的IP172.16.1.255的数据包

6、基于端口号的过滤

tcp.port == 80过滤tcp的80端口

协议过滤器

arp：显示所有包括ARP请求和回复在内的所有ARP数据流。

ip：显示内含IPv4头在内的（如ICMP目的地址不可达报文，在ICMP报文头之后返回到来方向的IPv4头）IP数据流。

ipv6：显示所有IPv6数据流，包括内含IPv6报文头的IPv4报文，如6to4，Teredo，以及ISATAP数据流。

tcp：显示所有基于TCP的数据流。

7、字符过滤器：

tcp.analysis.flags：显示所有包含TCP分析标识的所有报文，包括报文丢失，重传，或零窗口标识。

tcp.analysis,zero_window：显示含有表明发送方的接收缓存用完标识的报文

例tcp.flags.syn == 1：过滤三次握手fsyn=1的数据包

8、显示运算符

通过扩展过滤条件可查找某一域值，Wireshark针对此功能支持数字比较运算符。我整理出来几种类型，这里就不一一给大家查看结果了，

==或eq

例如：ip.src == 10.2.2.2显示所有源地址为10.2.2.2的IPv4数据流

！=或ne

例如：tcp.srcport != 80显示源端口除了80以外的所有TCP数据流

或gt

例如：frame.time_relative > 1 显示距前一个报文到达时间相差1秒的报文

<或lt

例如：tcp.window_size < 1460 显示当TCP接收窗口小于1460字节时的报文

=或ge

例如：dns.count.answers >= 10 显示包含10个以上answer的DNS响应报文

<=或le

例如：ip.ttl <= 10 显示IP报文中Time to Live字段小于等于10的报文

contains

例如：http contains “GET” 显示所有HTTP客户端发送给HTTP服务器的GET请求

运算符两边不用留空格。ip.src == 10.2.2.2与ip.src==10.2.2.2的效果是相同的。