流量分析 (WireShark)

過濾ip

ip.src eq(=) x.x.x.x or ip.dist eq(=) x.x.x.x

//組合過濾也能夠設置or，and進行組合過濾

ip.addr eq(=) x.x.x.x

//單個ip過濾

 

過濾端口

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 只顯示tcp協議的目標端口爲80

tcp.srcport == 80 只顯示tcp協議的源端口爲80

tcp.port >= 1 and tcp.port<= 80

 

過濾協議

tcp/udp/arp/icmp/http/ftp/dns/ip...

//直接輸入協議名稱便可

 

過濾MAC地址

eth.dst == A0:00:00:04:C5:84 過濾目標mac

 

包長度過濾

udp. length == 26 這個長度是指udp自己固定長度8加上udp下面那塊數據包之和

tcp.1en >= 7指的是ip數據包(tcp下面那塊數據)，不包括tcp自己

ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip自己到最後

frame.len== 119整個數據包長度，從eth開始到最後

 

http模式過濾

http.request.method == "GET"

http.request.method =="POST"

http.request.uri == "/ img/logo-edu.gif"

http contains "GET"

http contains "HTTP/1. "

http.request.method == "GET" && http contains "User-Agent:"

http contains "flag"

http contains "key"

tcp contains "flag"

 

 

 

源和目的ip 源和目的端口 協議

 

 

 

協議分級

英文版：Statistics->Protocol Hierarchy

中文版：統計->協議分級

文件數據流可能在Media Type

 

 

流匯聚

能夠將HTTP流或TCP流匯聚或還原成數據，在彈出的框中能夠看到數據內容

右擊->追蹤流