Wireshark提供了两种过滤器:
捕获过滤器:在抓包之前就设定好过滤条件,然后只抓取符合条件的数据包。
显示过滤器:在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。
需要注意的是,这两种过滤器所使用的语法是完全不同的,想想也知道,捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来,显示过滤器就是Wireshark对已捕捉的数据进行筛选。

使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量,那么可以简单地使用捕获过滤器过滤掉它,从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候,使用捕获过滤器是相当好用的。
新版Wireshark的初始界面非常简洁,主要就提供了两项功能:先设置捕获过滤器,然后再选择负责抓包的网卡。由此可见捕获过滤器的重要性。

Wireshark拦截通过网卡访问的所有数据,没有设置任何代理

Wireshark不能拦截本地回环访问的请求,即127.0.0.1或者localhost

显示过滤器:

下面是Wireshark中对http请求的拦截,注意不包含https

http.request.uri contains "product"

链接地址中包含product的请求,不算域名

http.host==shanghai.rongzi.com

过滤域名

http.host contains rongzi.com

更模糊的过滤,可以有多个二级域名

http.content_type =="text/html"

content_type类型过滤

http.request.uri=="/product/"

完整地址过滤,有参数的话就不合适这样过滤

http.request.method=="GET"

tcp.port==80

http && tcp.port==8613 or tcp.port==8090 or tcp.port==8091

ip.dst==42.159.245.203

搜集:

http.host==magentonotes.com

http.host contains magentonotes.com

//过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名

http.response.code==

//过滤http响应状态码为302的数据包

http.response==

//过滤所有的http响应包

http.request==

//过滤所有的http请求,貌似也可以使用http.request

http.request.method==POST

//wireshark过滤所有请求方式为POST的http请求包,注意POST为大写

http.cookie contains guid

//过滤含有指定cookie的http数据包

http.request.uri==”/online/setpoint”

//过滤请求的uri,取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”

//过滤含域名的整个url则需要使用http.request.full_uri

http.server contains “nginx”

//过滤http头中server字段含有nginx字符的数据包

http.content_type == “text/html”

//过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包

http.content_encoding == “gzip”

//过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked”

//根据transfer_encoding过滤

http.content_length ==

http.content_length_header == “″

//根据content_length的数值过滤

http.server

//过滤所有含有http头中含有server字段的数据包

http.request.version == “HTTP/1.1″

//过滤HTTP/1.1版本的http包,包括请求和响应

http.response.phrase == “OK”

//过滤http响应中的phrase

捕捉过滤器:

捕捉--》捕捉过滤器

捕捉--》选项--》

点击开始就开始捕捉数据。

通过测试发现,上面用例是用的域名,但是实际是用的ip,因为很多不同域名,但是相同ip的数据也可以被捕捉到!

具体的规则可以看下面的链接,里面有很多例子。

Wireshark捕捉mysql语句:

mysql.query contains "SELECT"

所有的mysql语句内容进行过滤:

mysql contains "FD171290339530899459"

http://www.cnblogs.com/wangkangluo1/archive/2011/12/19/2293750.html

http://yttitan.blog.51cto.com/70821/1737031

http://yttitan.blog.51cto.com/70821/1734425

http://openmaniak.com/cn/wireshark_filters.php#capture

https://wiki.wireshark.org/CaptureFilters

Wireshark过滤总结的更多相关文章

  1. 【协议分析】Wireshark 过滤表达式实例

    Wireshark 过滤表达式实例   1.wireshark基本的语法 字符 \d          0-9的数字 \D          \d的补集(以所以字符为全集,下同),即所有非数字的字符 ...

  2. (十八)WireShark 过滤语法

    1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1. ...

  3. wireshark过滤语法总结

    抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考.(脑子记不住东西) wireshark进行过滤时 ...

  4. wireshark过滤语法总结-重点偏移过滤

    http://chenjiji.com/post/3371.html 作者: CHAN | 发布: 2013 年 10 月 24 日 做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wi ...

  5. 【转】wireshark过滤规则

    WireShark过滤语法 1.过滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.add ...

  6. Wireshark 过滤条件

    做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后 ...

  7. wireshark过滤规则

    WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.ad ...

  8. Wireshark 过滤 基本语法

    转载 1.过滤IP,如来源IP或者目标IP等于某个IP   例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 1 ...

  9. 转: wireshark过滤语法总结

    from: http://blog.csdn.net/cumirror/article/details/7054496 wireshark过滤语法总结 原创 2011年12月09日 22:38:50 ...

随机推荐

  1. 洛谷P4147 玉蟾宫 单调栈/悬线法

    正解:单调栈/悬线法 解题报告: ummm这题我当初做的时候一点思路也没有只会暴力出奇迹:D(啊听说暴力好像能水过去呢,,, 然后当初是看的题解,然后学了下悬线法 然后就忘了:D 然后我现在看发现看不 ...

  2. Git 常用命令(转)

    原文:http://www.cnblogs.com/1-2-3/archive/2010/07/18/git-commands.html add by zhj :图是用 思维导图 软件MindMapp ...

  3. http如何301到https呢?

    HTTPS协议的站点信息更加安全,同时可降低网站被劫持的风险,Firefox和chrome浏览器对访问一些非https站点会提示风险,BD等搜索引擎也明确表态了对https站点的友好.那么我们如何部署 ...

  4. SQL Server 安装后改动计算机名带来的问题以及解决方法

    USE master GO DECLARE @serverproperty_servername varchar(100), @servername varchar(100) --取得Windows ...

  5. keras之save & reload model

    import numpy as np np.random.seed(1337) # for reproducibility from keras.models import Sequential fr ...

  6. Vue.js学习笔记——表单控件实践

    最近项目中使用了vue替代繁琐的jquery处理dom的数据更新,个人非常喜欢,所以就上官网小小地实践了一把. 以下为表单控件的实践,代码敬上,直接新建html文件,粘贴复制即可看到效果~ <! ...

  7. SpringBoot与Docker1

    1:docker是一个开源的应用容器引擎: docker支持将软件编译成一个镜像:然后再镜像中各种软件做好配置,将镜像发布出去,其他使用者可以直接使用这个镜像: 运行中的这个镜像称为容器,容器启动是非 ...

  8. JavaScript循环练习2

    折纸:折多少次和珠穆朗玛峰一样高1.一张纸的厚度是0.0001米,将纸对折,对折多少次厚度超过珠峰高度8848米 var hou = 0.0001; var cishu = 0; for(var i= ...

  9. [转]Visual C++ RunTime的特征——非烫即屯

    Visual C++ RunTime的特征——非烫即屯 大一刚学C语言,第二次上机课,当我发现我照着书抄写的程序在运行之外的黑框里面跳出一排“烫烫烫烫烫”,当时就震惊了.你们能想象一个来自小城, 在大 ...

  10. 《Convolutional Neural Networks for Sentence Classification》 文本分类

    文本分类任务中可以利用CNN来提取句子中类似 n-gram 的关键信息. TextCNN的详细过程原理图见下: keras 代码: def convs_block(data, convs=[3, 3, ...