Wireshark數據包分析過濾器用法

過濾器

經常使用端口說明：

端口	端口說明	備註
23	Telnet協議是TCP/IP協議族中的一員，是Internet遠程登錄服務的標準協議和主要方式。
80		‍
443	ssl+http	‍

1.撲捉指定<host>主機

        [src|dst] host <host>

        src :  表示源地址，也就是包發送地址；

        dst :   表示目標地址，也就是包的接受地址；

        若是 [ src | dst ]未指定，則指定地址出如今源地址或目標地址中的包都會被抓取。

2.過濾撲捉以太網<ehost>主機 

        ether [src|dst] host <ehost>

        此命令容許你過濾以太網主機地址。能夠經過優先指定關鍵字 src | dst 在 關鍵詞 ether 和 host 之間來肯定關注的是源地址仍是目標地址。若是沒有指定，就和上面這個命令同樣。

3.經過指定網關過濾抓包

        gateway host <host>

        經過制定host 做爲網關包。也就是說，以太網源地址或目標地址是 host ，但 ip 地址和目標ip地址都不是host 的包。

4.經過指定子網掩碼過濾抓包

        [src|dst] net <net> [{mask<mask>}|{len <len>}]

            經過網絡號進行過濾。能夠選擇優先指定src|dst 來肯定抓取的是源網絡或目標網絡。若是沒指定，網絡出如今源地址仍是目標地址的都會被選擇。另外，你能夠選擇子網掩碼或者CIDR(無類別域形式)。

5.協議端口過濾

        [tcp|udp] [src|dst] port <port]

        過濾tcp,udp協議及端口號。可使用src|dst 和tcp|udp 關鍵詞來肯定是源仍是目標，tcp 協議仍是udp 協議。tcp|udp 必須出如今src|dst以前。

6.按包大小過濾

        less|greater <length>

            過濾包的大小長度選擇長度符合要求的包。（大於等於或小於等於）

7.指定協議層過濾

        ip|ether proto <protocol>

                選擇有指定的協議在以太網層或是ip 層的包

8.過濾廣告形式

        ether|ip broadcast|multicast

            選擇以太網/ip 層的廣播或多播

9.自定義過濾規則

        <expr> relop <expr>

                建立一個複雜過濾表達式，來選擇包的字節或字節範圍符合要求的包。請

10.過濾器表達式對話框中也提供了一些過濾規則，根據需求自行調整和修改。

‍‍‍比較值：‍‍‍

表達式                    符號表示                    說明

eq                            ==                         示例：ip.addr == 192.168.1.111

ne                            !=                           示例：ip.addr != 192.168.1.110

gt                              >                           示例：frame.pkt_len > 10

lt                                <                          示例： frame.pkt_len < 128

ge                            >=                         示例：frame.pkt_len ge 0x100

le                              <=                          示例：frame.pkt_len <= 0x20

組合表達式：

表達式                    符號表示                    說明

‍and                             &&                         示例：ip.addr==10.0.0.5 and tcp.flags.fin
or                                  ||                           示例：ip.addr==10.0.0.5 or ip.addr==192.1.1.1
xor                               ^^                         示例：tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.29
not                                 !                           示例：not llc‍

注：好比你要抓非 192.168.1.111 的全部數據包，filter 的寫法不該該是  ip.addr != 192.168.1.111 ,  在數據包中，有可能雙向中，都會包含這個地址，只要兩個地址中，任何一個不包含這個地址這個條件就爲真，因此，正確的寫法應該是：!(ip.addr == 192.168.111)

經常使用過濾器：

過濾器                                            說明

tcp[13] & 32 == 32                        設置了 URG 位的TCP數據包

tcp[13] & 16 == 16                        設置了 ACK 位的TCP數據包

tcp[13] & 8 == 8                            設置了 PSH 位的TCP數據包

tcp[13] & 4 == 4                            設置了 RST 位的TCP數據包

tcp[13] & 2 == 2                            設置了 SYN 位的TCP數據包

tcp[13] & 1 == 1                            設置了 FIN 位的TCP數據包

tcp[13]  == 18                                TCP SYN-ACK 數據包

ether host 00:00:00:00:00:00:00        流入或流出你Mac地址的流量

!ether host 00:00:00:00:00:00:00       不流入或流出你Mac地址的流量 

broadcast                                        僅廣播流量

icmp                                                ICMP 流浪

icmp[0:2] == 0x0301                        ICMP 目標不可達、主機不可達

ip                                                    僅僅 IPv4 流量

ip6                                                  僅僅 IPv6 流量

udp                                                 僅僅UDP流量

!tcp.port == 3389                            排除RDP流量

tcp.flags.syn == 1                            具備SYN標誌位的TCP數據包

tcp.flags.rst == 1                              具備RST標誌位的TCP數據包

!arp                                                    排除ARP流量

http                                                  全部HTTP流量

tcp.port == 23 || tcp.port 21            文本管理流量（Telnet或FTP）

smp || pop || imap                            文本email流量（SMTP、POP或IMAP）

協議                                頭部大小

以太網                                14字節(包含CRC)

IP 頭                                    20字節

TCP頭                                20字節（沒有數據以及選項的TCP數據包也是20字節）