wireshark过滤语法总结
抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tcp.port==、http.request.method=="GET"。 对内容的过滤,既支持深度的字符串匹配过滤如http contains :] == ::。 wireshark有两种过滤器: 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。 捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据;显示过滤器用于过滤抓包数据,方便stream的追踪和排查。 捕捉过滤器仅支持协议过滤,显示过滤器既支持协议过滤也支持内容过滤。 两种过滤器它们支持的过滤语法并不一样。 捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置 语法: Protocol Direction Host(s) Value Logical Operations Other expression 例子: tcp dst and tcp dst 示例: (host ) and tcp dst portrange - and dst net 捕捉IP为10./,目的IP的TCP端口号在200至10000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。 字段详解: Protocol(协议): 可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没指明协议类型,则默认为捕捉所有支持的协议。 注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。 Direction(方向): 可能值: src, dst, src and dst, src or dst 如果没指明方向,则默认使用 “src or dst” 作为关键字。 ”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。 Host(s): 可能值: net, port, host, portrange. 默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。 Logical Operations(逻辑运算): 可能值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。 “not tcp port and tcp port ″与”(not tcp port ) and tcp port ″等价。 “not tcp port and tcp port ″与”not (tcp port and tcp port )”不等价。 显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤 .协议过滤语法 语法: Protocol . String . String Comparison operator Value Logical Operations Other expression 例子: http request method == "POST" or icmp.type string1和string2是可选的。 依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。 按协议进行过滤: snmp || dns || icmp 显示SNMP或DNS或ICMP封包。 按协议的属性值进行过滤: ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 ip.src == 显示来自10.230网段的封包。 tcp.port == 显示来源或目的TCP端口号为25的封包。 tcp.dstport == 显示目的TCP端口号为25的封包。 http.request.method== "POST" 显示post请求方式的http封包。 http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包。 tcp.flags.syn == × 显示包含TCP SYN标志的封包。 .内容过滤语法 .1深度字符串匹配 contains :Does the protocol, field or slice contain a value 示例 tcp contains "http" 显示payload中包含"http"字符串的tcp封包。 http.request.uri contains "online" 显示请求的uri包含"online"的http封包。 .2特定偏移处值的过滤 tcp[:] == :: /* 16进制形式,tcp头部一般是20字节,所以这个是对payload的前三个字节进行过滤 */ http.host[:] == "trac" 过滤中函数的使用(upper、lower) upper(string-field) - converts a string field to uppercase lower(string-field) - converts a string field to lowercase 示例 upper(http.request.uri) contains "ONLINE" wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。 如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误
wireshark过滤语法总结的更多相关文章
- wireshark过滤语法总结-重点偏移过滤
http://chenjiji.com/post/3371.html 作者: CHAN | 发布: 2013 年 10 月 24 日 做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wi ...
- 转: wireshark过滤语法总结
from: http://blog.csdn.net/cumirror/article/details/7054496 wireshark过滤语法总结 原创 2011年12月09日 22:38:50 ...
- (十八)WireShark 过滤语法
1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1. ...
- wireshark过滤语法总结 (转载)
做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后 ...
- WireShark 过滤语法
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.1 ...
- WireShark过滤语法
1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168. ...
- 【转】wireshark过滤规则
WireShark过滤语法 1.过滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.add ...
- wireshark过滤规则
WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.ad ...
- 转: wireshark过滤规则
转: http://blog.sina.com.cn/s/blog_48a0f2740100ka71.html WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ...
随机推荐
- SharePoint 2010 站点附加数据升级到SP2013
首先,去SharePoint 2010的数据库服务器上,找到站点的数据库,备份.还原到SharePoint 2013环境中: 如果不知道数据库服务器是哪台,可以通过服务器场上的服务器查看: 如果不知道 ...
- 基于XMPP的IOS聊天客户端程序
简介:XMPP协议是一种基于Socket长连接.以XML格式进行基本信息交换.C/S S/S多种架构的聊天协议 XMPPServer 基于XMPP协议的服务端(例如eJabber.OpenFire) ...
- dispatch
GCD提供了并管理着若干FIFO队列(queues),可以通过block的形式向这些FIFO序列提交任务.GCD同时维护着一个线程池,所有的任务在线程池的线程运行. 系统提供的队列 main queu ...
- Sqlite3中存储类型和数据类型结合文档解析。
sqlite3是个很小的数据库,运行在手机,机顶盒上....那它就不可能像musql,sqlserver那么规范,有很多的数据类型,之前我也以为它定义了很多数据类型,其实不是他就5个存储类,那么多数据 ...
- 【代码笔记】iOS-侧滑效果
一,效果图. 二,工程图. 三,代码. AppDelegate.h #import <UIKit/UIKit.h> //加入头文件 #import "PPRevealSideVi ...
- IOS 如何隐藏tabbar
系统自带的UITabBarController有时候到不到要求,需要自定义样式. 有一种方法就是在TabBar上面在放一层自己的,正好把原来的遮住. 那么,从Tab进入子的Controller想要隐藏 ...
- iOS--(UITableViewCell)、(UITableViewController)微信个人主页
本文主要实现了微信的个人主页的设置: 目录文件如下: 实现代码如下: RootTableViewController.h #import <UIKit/UIKit.h> @interfac ...
- 自定义标签 与 JSTL(JSP Standard Tag Library)
1.自定义标签 [理解] [1]简介 > 在JSP2.0以后,在jsp页面中不建议使用脚本片段<% %>和JSP表达式<%= %> ...
- XCLNetTools1.0(ASP.NET常用类库)
版权声明:本文为博主原创文章,未经博主允许不得转载. 2016-01-01开放所有源代码: 项目地址:https://github.com/xucongli1989/XCLNetTools 下载地址: ...
- webpack入门和实战(二):全面理解和运用loader和plugins
您的阅读目录: 一.理解webpack加载器loader 二.理解less-loader加载器的使用 三.理解babel-loader加载器的使用 四.webpack命令行常见使用的操作 五.用web ...