wireshark过滤语法总结

抓包采用wireshark，提取特征时，要对session进行过滤，找到关键的stream，这里总结了wireshark过滤的基本语法，供自己以后参考。（脑子记不住东西）

wireshark进行过滤时，按照过滤的语法可分为协议过滤和内容过滤。

对标准协议，既支持粗粒度的过滤如HTTP，也支持细粒度的、依据协议属性值进行的过滤如tcp.port==、http.request.method=="GET"。

对内容的过滤，既支持深度的字符串匹配过滤如http contains :] == ::。

wireshark有两种过滤器：

捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。
显示过滤器（DisplayFilters）：用于在捕捉结果中进行详细查找。

捕捉过滤器在抓抱前进行设置，决定抓取怎样的数据；显示过滤器用于过滤抓包数据，方便stream的追踪和排查。

捕捉过滤器仅支持协议过滤，显示过滤器既支持协议过滤也支持内容过滤。

两种过滤器它们支持的过滤语法并不一样。

捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置
语法：    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression
例子：    tcp    dst        and    tcp dst
示例：

(host ) and tcp dst portrange - and dst net
捕捉IP为10./，目的IP的TCP端口号在200至10000之间，并且目的IP位于网络 10.0.0.0/8内的所有封包。

字段详解：

Protocol（协议）:
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没指明协议类型，则默认为捕捉所有支持的协议。
注：在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。

Direction（方向）:
可能值: src, dst, src and dst, src or dst
如果没指明方向，则默认使用 “src or dst” 作为关键字。
”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。

Host(s):
可能值： net, port, host, portrange.
默认使用”host”关键字，”src 10.1.1.1″与”src host 10.1.1.1″等价。

Logical Operations（逻辑运算）:
可能值：not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
“not tcp port  and tcp port ″与”(not tcp port ) and tcp port ″等价。
“not tcp port  and tcp port ″与”not (tcp port  and tcp port )”不等价。

显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤
.协议过滤语法
语法：    Protocol    .    String     .    String     Comparison operator      Value    Logical Operations    Other expression
例子：    http         request         method     ==    "POST"    or    icmp.type
string1和string2是可选的。

依据协议过滤时，可直接通过协议来进行过滤，也能依据协议的属性值进行过滤。

按协议进行过滤：

snmp || dns || icmp    显示SNMP或DNS或ICMP封包。
按协议的属性值进行过滤：
ip.addr == 10.1.1.1
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.src ==     显示来自10.230网段的封包。
tcp.port ==     显示来源或目的TCP端口号为25的封包。
tcp.dstport ==     显示目的TCP端口号为25的封包。
http.request.method== "POST"    显示post请求方式的http封包。
http.host == "tracker.1ting.com"    显示请求的域名为tracker.1ting.com的http封包。
tcp.flags.syn == ×    显示包含TCP SYN标志的封包。
.内容过滤语法

.1深度字符串匹配

contains ：Does the protocol, field or slice contain a value
示例
tcp contains "http"    显示payload中包含"http"字符串的tcp封包。
http.request.uri contains "online"    显示请求的uri包含"online"的http封包。
.2特定偏移处值的过滤
tcp[:] == ::  /* 16进制形式，tcp头部一般是20字节，所以这个是对payload的前三个字节进行过滤 */

http.host[:] == "trac"

过滤中函数的使用（upper、lower）

upper(string-field) - converts a string field to uppercase
lower(string-field) - converts a string field to lowercase
示例
upper(http.request.uri) contains "ONLINE"

wireshark过滤支持比较运算符、逻辑运算符，内容过滤时还能使用位运算。
如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误