过滤规则使用

在抓取报文时使用的规则,称为过滤规则,Wireshark底层是基于Winpcap,因此过滤规则是Winpcap定义的规则,设置过滤规则后,抓到的报文仅包含符合规则的报文,其它报文则被丢弃。

Wireshark的过滤规则,与Linux下tcpdump的过滤规则基本相同,二者可相互参考。

在抓包选项内填写过滤规则,然后点开始即可使用过滤规则进行抓包。

过滤规则与协议相关,对wireshark过滤规则,只要了解相应协议(例如UDP、TCP),理解基本语法,都不算复杂。

当前版本的Wireshark已经支持了部分简单的过滤规则,大大地简化了使用难度:

过滤规则例子

本节通过一些例子,来说明其用法。

1、仅抓取80端口的TCP报文

tcp port 80

这个规则是比较通用的仅抓取HTTP协议的规则,因为通常情况下,HTTP协议都是走TCP 80端口,这样设置抓包,可以满足大部分场景。

2、抓取80端口和8080端口的TCP报文

tcp port 80 or tcp port 8080

按第一条规则,虽然能满足大部分情况,但大家应该了解,HTTP协议可以设置走任意端口,如比较通用的8080端口,为更完整地抓包,则抓包规则中需要加入8080端口,因此我们使用or将tcp port 80和 tcp port 8080两个条件连接,则能抓取所有80端口和8080端口的TCP报文。

除了or,还有and和not可以用在过滤规则中。

3、抓取IP为192.168.0.1的80端口的TCP报文

tcp port 80 and host 192.168.0.1

and 连接符表示两个条件必须为真,结果才为真,符合连接的两个条件的报文才被抓取。

4、抓取除ip为192.168.0.1并且端口为80的报文外的所有报文

not (tcp port 80 and host 192.168.0.1)

not连接符表示非,则符合not修饰的规则的报文将不被抓取。

()将规则包含,来确定规则的优先级。

5、抓取ip报文

ether proto 0x0800

以太网头部有很多种协议,如果只想抓取一种协议,如IP协议,则按这条规则抓取。ether及proto为固定字段,表示以太头的proto字段,而0x0800为以太头部的IP协议类型值。如果要抓取ARP协议,则将值0x0800改为0x0806即可。

6、抓取IP负载长度大于100字节的报文

ip[2:2] > 100

[]表示偏移,IP协议头部偏移值为2,规则含义为ip数据段内偏移2字节的2字节内容的值大于100,而该内容如果熟悉IP协议的话,可知其为ip.total_length,对ether/tcp/udp这些常用协议,都可采用类似方法取值,当然,优先采用更简便的方法。

过滤规则适用于在抓包之前就设置好了条件,已经了解需要抓取那些报文,丢弃哪些报文的情景,如果需要在抓包之后进一步对报文进行分析,就必须使用显示规则,显示规则将在后续文章中介绍,敬请关注。

如果在过滤规则使用上有不懂的地方,可以关注我进行了解,免费的。

长按进行关注。

干货,Wireshark使用技巧-过滤规则的更多相关文章

  1. Wireshark技巧-过滤规则和显示规则

    Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率. 如果要 ...

  2. Wireshark技巧-过滤规则和显示规则【转】

    转自:https://www.cnblogs.com/icez/p/3973873.html Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件. 过滤规则 只抓取符合条件的包,在W ...

  3. 【转】Wireshark技巧-过滤规则和显示规则

    原文: http://www.cnblogs.com/icez/p/3973873.html ----------------------------------------------------- ...

  4. 干货:Wireshark使用技巧-显示规则

    - 显示规则使用 在Wireshark界面对已经抓取的报文在界面的显示进行控制的规则,称为显示规则,显示规则只是让一部分不符合规则的报文不被显示,但未被丢弃,这些报文仍然存在在Wireshark的系统 ...

  5. Wireshark基本用法 && 过滤规则 && 协议详解

    基本使用: https://www.cnblogs.com/dragonir/p/6219541.html 协议解析: https://www.jianshu.com/p/a384b8e32b67 ( ...

  6. 网络抓包工具wireshark常用封装过滤规则

    过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中.需要在开始捕捉前设置.显示过滤器(DisplayFilters):在捕捉结果中进行详细查找.他们可以在 ...

  7. Wireshark小技巧:将IP显示为域名

    "  本文介绍如何使Wireshark报文窗口的Source栏及Destination内的IP直接显示为域名,提升报文分析效率." 之前内容发现部分不够严谨的地方,所以删除重发. ...

  8. Wireshark的两种过滤器与BPF过滤规则

    Wirshark使用的关键就在于过滤出想要的数据包,下面介绍怎么过滤. 抓包过滤器 Wirshark有两种过滤器,一个是抓包过滤器,一个是显示过滤器,他们之间的区别在于抓包过滤器只抓取你设置的规则,同 ...

  9. wireshark常用过滤规则

    wireshark常用过滤规则:(Filter中输入过滤规则)1.源ip过滤:ip.src==1.1.1.1               (过滤源ip为1.1.1.1的包) 2.目的ip过滤:ip.d ...

随机推荐

  1. JVM发生full gc的情景有哪些

    除直接调用System.gc外,触发Full GC执行的情况有如下四种.1. 旧生代空间不足 旧生代空间只有在新生代对象转入及创建为大对象.大数组时才会出现不足的现象,当执行Full GC后空间仍然不 ...

  2. LeetCode刷题191118

    博主渣渣一枚,刷刷leetcode给自己瞅瞅,大神们由更好方法还望不吝赐教.题目及解法来自于力扣(LeetCode),传送门. 算法: 给定一个包含 m x n 个元素的矩阵(m 行, n 列),请按 ...

  3. 用了这么久HTTP, 你是否了解Content-Length?

    摘要: 理解HTTP协议... 原文:用了这么久HTTP, 你是否了解Content-Length和Transfer-Encoding ? 作者:朴瑞卿的博客 由Content-Length导致的问题 ...

  4. linux上下键,rlwrap来解决

    需要安装两个包1.readline,配置好yum直接安装[root@test152 ~]# yum install readline*2.rlwrap这个下载连接当前有效,找了很多没找到有用的http ...

  5. Linux 定位进程对应的文件路径

    ls -al /proc/[pid]/exe # 例如: [root@localhost ~]# ls -al /proc/9109/exe lrwxrwxrwx. 1 ibaboss ibaboss ...

  6. java8-9-Stream 的中间操作

        Stream 的中间操作   filter 过滤 排除元素 filter(T -> boolean) 保留 boolean 为 true 的元素

  7. private构造器和单例模式

    // hiding/Lunch.java // Demonstrates class access specifiers. Make a class // effectively private wi ...

  8. Ubuntu 18.04 安装 python 的 redis 库

    安装 如果只是安装了 python2.x 或者 python3.x,直接安装即可,命令如下: pip install redis 如果是同时安装了 python2.x 和 python3.x 的,则需 ...

  9. 【2019.10.7 CCF-CSP-2019模拟赛 T2】绝对值(abs)(线段树细节题)

    找规律 设\(p_i=a_{i+1}-a_i\),则答案就是\(\sum_{i=1}^{n-1}p_i\). 考虑若将\(a_i\)加上\(x\)(边界情况特殊考虑),就相当于是将\(p_{i-1}\ ...

  10. js 的cookie问题

    获取时解码可以用decodeURIComponent(),代替 unescape() // 设置cookiefunction setCookie(name,value) { var Days = 30 ...