Wireshark抓包參數

  

整理自陳鑫傑老師的wireshark教程課html

wireshark 抓包過濾器

過濾器分爲抓包過濾器和顯示過濾器,抓包過濾器會將不知足過濾條件的包丟棄,只保留知足條件的包,而顯示過濾器則是對已抓取的包作過濾,過濾出知足條件的包。nginx

顯示過濾器能夠保留所有的報數據,方便後期作流量分析,而抓包過濾器保留的數據有限,後期分析有侷限性。less

1、抓包過濾器


wireshark抓包是基於其內部的libpcap/wincap庫tcp

打開軟件時直接在filter欄輸入過濾規則便可,以下以wireshark2.6舉例spa

Capture --> Options3d

1549952345994

1549952300718

使用的是BFP語法(Berkeley Packet Filter),一共四個元素:code

  • 類型(Type)
    • host、net、port
  • 方向(Dir)
    • src、dst
  • 協議(Proto)
    • ether、ip、tcp、udp、http、ftp
  • 邏輯運算符
    • && 與
    • || 或
    • ! 非

示例:htm

抓取源地址爲192.168.1.1,目的端口爲80的流量blog

src host 192.168.1.1 && dst port 80

抓取192.168.1.1和192.168.1.2的流量

host 192.168.1.1 || host 192.168.1.2

不要抓取廣播包

! broadcast

過濾mac地址:

ether host 00:88:ca:86:f8:0d ether src host 00:88:ca:86:f8:0d ether dst host 00:88:ca:86:f8:0d

過濾IP地址:

host 192.168.1.1 src host 192.168.1.1 dst host 192.168.1.1

過濾端口:

port 80 !port 80 dst port 80 src port 80

過濾協議:

arp icmp

結合邏輯符號綜合過濾

host 192.168.1.1 && port 8080

2、顯示過濾器


使用顯示過濾器需先用軟件進行抓包,而後在軟件filter欄輸入過濾規則:

1549952508341

比較符:

  • == 等於
  • != 不等於
  • > 大於

  • < 小於
  • >= 大於等於
  • <= 小於等於

邏輯操做符:

  • and 兩個條件同時知足
  • or 其中一個條件被知足
  • xor 有且僅有一個條件被知足
  • not 沒有條件被知足

ip地址:

  • ip.addr ip地址
  • ip.src 源ip
  • ip.dst 目標ip

端口過濾:

  • tcp.port
  • tcp.srcport
  • tcp.dstport
  • tcp.flags.syn 過濾包含tcp的syn請求的包
  • tcp.flags.ack 過濾包含tcp的ack應答的包

協議過濾:

arp、ip、icmp、udp、tcp、bootp、dns等

示例:

過濾IP地址:

ip.addr == 192.168.1.1 過濾該地址的包 ip.src == 172.16.1.1 過濾源地址爲該地址的包

過濾端口:

tcp.port == 80 過濾tcp中端口號爲80的包 tcp.flags.syn == 1 過濾syn請求爲1的包

結合邏輯符綜合過濾:

ip.src == 192.168.1.1 and ip.dst == 172.16.1.1
相關文章
相關標籤/搜索