wireshark抓包实战(六),过滤器
目录
wireshark中,过滤器有两种,一种是抓包过滤器,一种是显示过滤器!
抓包过滤器适合大网络环境,配置与抓包之前,可以减轻电脑的负载,更加精确的抓取显示的包。
显示过滤器适合小网络环境,配置与抓包之后,适合进行全网数据包分析,可以动态根据需求显示需要的数据包
一、抓包过滤器
即让wireshark只抓取已定规则的数据包
1.语法来源
抓包过滤器的配置语法派生自libpcap/WinPcap库中tcpdump的语法
种过滤器的配置语法并不相同。
2.语法
(1)关键要素
①type ===> 类型
host(本机)、net(网段)、port(端口)
②dir
src(源地址)、dst(目的地址)
③proto
ether、ip、tcp、udp、icmp、http、ftp、oicq(QQ封装协议)、broadcast(广播)、multicast(多播)、arp、等
④逻辑运算符
&&(与)、||(或)、!(非)
(2)命令语句
[协议类型] [src/dst] [类型] [类型值] [&&/||/!] ~
例如:
ip dst host 192.168.1.6 && dst port 80
二、显示过滤器
1.语法来源
显示过滤器的配置语法则在若干年后定义
即让wireshark从抓的包中仅显示已定规则的数据包
2.关键要素
(1)条件操作符
| == | eq | 等于 |
ip.addr == 192.168.1.1 ip.addr eq 192.168.1.1 |
| != | ne | 不等于 |
!ip.addr==192.168.1.1 或 或 |
| > | gt | 高(长、 大) 于 | frame.len > 64 |
| < | lt | 低(短、 小) 于 | frame.len < 1500 |
| >= | ge | 不高(长、 大) 于 | frame.len >= 64 |
| <= | le | 不低(短、 小) 于 | frame.len <= 1500 |
| contains | 包含某个(串) 字符 | http.request.uri contains "/wp-login.php" | |
| matches | 某串字符匹配某个条件 | http.response.version matches "1" |
(2)逻辑操作符
| 简 |
| 标识符 | 描 述 | 举例 |
| and | 逻 辑 与 | ip.src==10.0.0.1 and tcp.flags.syn==1 IP主机10.0.0.1建立或尝试建立TCP连接时发出的首个数据包 |
| or | 逻 辑 或 | ip.addr==10.0.0.1 or ip.addr==10.0.02 所有发往或源于IP主机10.0.0.1或10.0.0.2的数据包。 |
| not | 逻 辑 非 | not arp and not icmp 除ARP和ICMP数据包之外的所有数据包 |
(3)过滤源
①IP过滤
ip.addr ===> IP地址
ip,src ===> 源IP地址
ip.dst ===> 目的IP地址
②端口过滤
tcp.port ===> tcp端口
tcp,srcport ===> tcp源端口
tcp.dstport ===> tcp目的端口
udp.port ===> udp端口
udp.srcport ===> udp源端口
udp.dstport ===> udp目的端口
③协议过滤
tcp、udp、http、arp、eth、icmp、ip、ipv6、dns、ftp、dhcp、nfs、oicq、smb......
④基础知识
ipv4报头
tcp报头
⑤注意事项
TTL字段是IP包头中非常有用的字段。 通过该字段值, 就能弄清IP 包所穿越的路由器的台数。 在默认情况下, 由不同操作系统生成的IP包 的TTL字段值都比较固定,只有64、 128和256这三种。
wireshark抓包实战(六),过滤器的更多相关文章
- wireshark抓包实战(二),第一次抓包
1.选择网卡. 因为wireshark是基于网卡进行抓包的,所以这时候我们必须选取一个网卡进行抓包.选择网卡一般有三种方式 (1)第一种 当我们刚打开软件是会自动提醒您选择,例如: (2)第二种 这时 ...
- wireshark抓包实战(五),首选项设置和基本的抓包设置
一.首选项 首选项一般是修改软件底层的一些默认参数 选中编辑,点击首选项按钮 二.抓包选项设置 点击捕获,选中选项 1.捕获网卡设置 2.保存文件方式设置 很多情况下wireshark会保存很大的数据 ...
- wireshark抓包实战(一),抓包原理
一.什么样的"包"能被wireshark抓住呢? 1.本机 即直接抓取进出本机网卡的流量包.这种情况下,wireshark会绑定本机的一块网卡. 2.集线器 用于抓取流量泛洪,冲突 ...
- wireshark抓包实战(八),专家分析
专家分析是干什么的?它可以帮你统计当前所抓包中丢包.错包等等的出现概率 其中关键字如下: error ===> 出错包 warning ===> 警告包 note ===> 注意包 ...
- wireshark抓包实战(七),数据流追踪
方法一 选中一个包,然后右键选择 "追踪流" ==> "xx流" 方法二 选中某个数据包后,点击 "分析" ===> " ...
- wireshark抓包实战(四),数据包的操作
1.标记数据包 当我们找到一个数据包感觉它很重要时,想要让它更明显怎么办呢?让它高亮即可! 具体操作: 选中某个条目,右键mark即可 2.为数据包添加注释 选中包以后,右键"分组注释&qu ...
- wireshark抓包实战(三),界面菜单管理
1.默认列的增删查改 (1)增加列 选中某个关键词,然后右键应用为列 (2)修改列 选中某个列,右键编辑列 (3)删除列 选中某个列,然后选择移除该列 2.修改时间显示格式 依次选中"视图& ...
- wireshark 抓包过滤器使用
目录 wireshark 抓包过滤器 一.抓包过滤器 二.显示过滤器 整理自陈鑫杰老师的wireshark教程课 wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足 ...
- wireshark 抓包过滤器
wireshark 抓包过滤器 https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤 ...
随机推荐
- Python - 函数形参之必填参数、缺省参数、可变参数、关键字参数的详细使用
Python函数形参 必传参数:平时最常用的,必传确定数量的参数 缺省参数:在调用函数时可以传也可以不传,如果不传将使用默认值 可变参数:可变长度参数 关键字参数:长度可变,但是需要以kv对形式传参 ...
- Java 垃圾收集技术
前言 在计算机科学中,垃圾收回(GC: garbage collection)是内存自动管理的一种方式,它并不是同 Java 语言一起诞生的,实际上,早在 1959 年为了简化 Lisp 语言的手动内 ...
- Linux学习第六天
学习Linux环境下的挂载命令. 什么是挂载命令? 1.Windows下,mount挂载,就是给磁盘分区提供一个盘符(C,D,E,...).比如插入U盘后系统自动分配给了它I:盘符其实就是挂载,退优盘 ...
- 工作中常用到的Java集合类有哪些?
前言 只有光头才能变强. 文本已收录至我的GitHub精选文章,欢迎Star:https://github.com/ZhongFuCheng3y/3y Java集合是我认为在Java基础中最最重要的知 ...
- Django-jwt token生成源码分析
一. 认证的发展历程简介 这里真的很简单的提一下认证的发展历程.以前大都是采用cookie.session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大 ...
- cmdb autoserver端表数据分析
目录: 1.后台目录规划 autoserver: api: 接收数据并进行二次分析入库 API验证 backend : 负责后台管理 repository:负责管理模型类 (数据表) autoserv ...
- 设计模式 - 观察者模式 (C++实现)
#include <iostream> #include <list> #include <string> using namespace std; class I ...
- DOM中获取元素的节点兼容IE6-8封装,带jquery源码分析children
<ul id="box"> <li>第一个节点</li> <li>第二个节点</li> <li>第三个节点& ...
- 《数据库优化》- MySQL视图
一.什么是视图 视图,是基于一个表或多个表或视图的逻辑表,本身不包含数据,通过它可以对表里面的数据进行查询和修改,视图基于的表称为基表.视图是存储在数据字典里的一条select语句. 通俗地讲,视图就 ...
- 浅析jdbc建立连接方式与背后的java类加载
关于jdbc的连接方式#1Connection conn;Class.forName("com.mysql.jdbc.Driver"); //2conn=DriverManager ...