Wireshark过滤总结
Wireshark提供了两种过滤器:
捕获过滤器:在抓包之前就设定好过滤条件,然后只抓取符合条件的数据包。
显示过滤器:在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。
需要注意的是,这两种过滤器所使用的语法是完全不同的,想想也知道,捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来,显示过滤器就是Wireshark对已捕捉的数据进行筛选。
使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量,那么可以简单地使用捕获过滤器过滤掉它,从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候,使用捕获过滤器是相当好用的。
新版Wireshark的初始界面非常简洁,主要就提供了两项功能:先设置捕获过滤器,然后再选择负责抓包的网卡。由此可见捕获过滤器的重要性。
Wireshark拦截通过网卡访问的所有数据,没有设置任何代理
Wireshark不能拦截本地回环访问的请求,即127.0.0.1或者localhost
显示过滤器:
下面是Wireshark中对http请求的拦截,注意不包含https
http.request.uri contains "product"
链接地址中包含product的请求,不算域名
http.host==shanghai.rongzi.com
过滤域名
http.host contains rongzi.com
更模糊的过滤,可以有多个二级域名
http.content_type =="text/html"
content_type类型过滤
http.request.uri=="/product/"
完整地址过滤,有参数的话就不合适这样过滤
http.request.method=="GET"
tcp.port==80
http && tcp.port==8613 or tcp.port==8090 or tcp.port==8091
ip.dst==42.159.245.203
搜集:
http.host==magentonotes.com
http.host contains magentonotes.com
//过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名 http.response.code==
//过滤http响应状态码为302的数据包 http.response==
//过滤所有的http响应包 http.request==
//过滤所有的http请求,貌似也可以使用http.request http.request.method==POST
//wireshark过滤所有请求方式为POST的http请求包,注意POST为大写 http.cookie contains guid
//过滤含有指定cookie的http数据包 http.request.uri==”/online/setpoint”
//过滤请求的uri,取值是域名后的部分 http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//过滤含域名的整个url则需要使用http.request.full_uri http.server contains “nginx”
//过滤http头中server字段含有nginx字符的数据包 http.content_type == “text/html”
//过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包 http.content_encoding == “gzip”
//过滤content_encoding是gzip的http包 http.transfer_encoding == “chunked”
//根据transfer_encoding过滤 http.content_length ==
http.content_length_header == “″
//根据content_length的数值过滤 http.server
//过滤所有含有http头中含有server字段的数据包 http.request.version == “HTTP/1.1″
//过滤HTTP/1.1版本的http包,包括请求和响应 http.response.phrase == “OK”
//过滤http响应中的phrase
捕捉过滤器:
捕捉--》捕捉过滤器
捕捉--》选项--》
点击开始就开始捕捉数据。
通过测试发现,上面用例是用的域名,但是实际是用的ip,因为很多不同域名,但是相同ip的数据也可以被捕捉到!
具体的规则可以看下面的链接,里面有很多例子。
Wireshark捕捉mysql语句:
mysql.query contains "SELECT"
所有的mysql语句内容进行过滤:
mysql contains "FD171290339530899459"
http://www.cnblogs.com/wangkangluo1/archive/2011/12/19/2293750.html
http://yttitan.blog.51cto.com/70821/1737031
http://yttitan.blog.51cto.com/70821/1734425
http://openmaniak.com/cn/wireshark_filters.php#capture
https://wiki.wireshark.org/CaptureFilters
Wireshark过滤总结的更多相关文章
- 【协议分析】Wireshark 过滤表达式实例
Wireshark 过滤表达式实例 1.wireshark基本的语法 字符 \d 0-9的数字 \D \d的补集(以所以字符为全集,下同),即所有非数字的字符 ...
- (十八)WireShark 过滤语法
1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1. ...
- wireshark过滤语法总结
抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考.(脑子记不住东西) wireshark进行过滤时 ...
- wireshark过滤语法总结-重点偏移过滤
http://chenjiji.com/post/3371.html 作者: CHAN | 发布: 2013 年 10 月 24 日 做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wi ...
- 【转】wireshark过滤规则
WireShark过滤语法 1.过滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.add ...
- Wireshark 过滤条件
做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后 ...
- wireshark过滤规则
WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.ad ...
- Wireshark 过滤 基本语法
转载 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 1 ...
- 转: wireshark过滤语法总结
from: http://blog.csdn.net/cumirror/article/details/7054496 wireshark过滤语法总结 原创 2011年12月09日 22:38:50 ...
随机推荐
- automation轻松“一点”,搞定裸机安装系统
企业在新建数据中心.新业务上线.老业务扩容等场景下,会采购一批新的裸机服务器,在新服务器投入使用之前,势必得进行操作系统的安装.相信每个人都有安装操作系统的经历,BIOS设置.磁盘分区.驱动安装... ...
- 【Python】easygui小甲鱼
翻译改编自官方文档:http://easygui.sourceforge.net/tutorial/index.html 翻译改编者:小甲鱼,本文欢迎转载,转载请保证原文的完整性! 演示使用 Pyth ...
- iOS中Date和NString的相互转换
必须知道的内容 G: 公元时代,例如AD公元 yy: 年的后2位 yyyy: 完整年 MM: 月,显示为1-12 MMM: 月,显示为英文月份简写,如 Jan ...
- Mysql中Left Join 与Right Join 与 Inner Join 与 Full Join的区别
看看Left Join 与Right Join 与 Inner Join 与 Full Join对表进行操作后得到的结果. 在数据库中新建两张表,并插入要测试的数据. 新建表: USE [Test] ...
- WebService之Axis2(2):复合类型数据的传递
在实际的应用中,不仅需要使用WebService来传递简单类型的数据,有时也需要传递更复杂的数据,这些数据可以被称为复合类型的数据.数组与类(接口)是比较常用的复合类型.在Axis2中可以直接使用将W ...
- ev3_basic——HITCON CTF 2018
[MISC] EN-US This challenge provides a jpg file and a pklg file. The jpg is shown a part of string o ...
- 使用masory
动态更新约束的时候老是提示有多余的约束,我使用update_contraits make_contraits 都不能解决,后来使用了remake_contraits才消除了告警. view pro ...
- SQL CASE 多条件用法
Case具有两种格式.简单Case函数和Case搜索函数. --简单Case函数 CASE sex WHEN '1' THEN '男' WHEN '2' THEN ...
- C# 开发圆角控件(窗体)
最近在做卡片视图的程序,要求将控件做成带有圆角的效果,下面是我在网上查找的资料,经过测试,确定可以实现功能.其中方法三既适应于控件,也适应于窗体. 先上传效果图: 方法一: 增加命名空间:using ...
- Leetcode: Repeated DNA Sequence
All DNA is composed of a series of nucleotides abbreviated as A, C, G, and T, for example: "ACG ...