文章目錄- #Wireshark提供了兩種過濾器:
- #過濾器具體寫法
- #顯示過濾器寫法
- 1�、過濾值比較符號及表達式之間的組合
- 2、針對ip的過濾
- 3����、針對協議的過濾
- 4、針對端口的過濾(視傳輸協議而定)
- 5��、針對長度和內容的過濾
- 5����、針對http請求的一些過濾實例。
- #捕捉過濾器寫法
#Wireshark提供了兩種過濾器:1�����、捕獲過濾器捕獲過濾器:在抓包之前就設定好過濾條件����,然后只抓取符合條件的數據包。 2����、顯示過濾器顯示過濾器:在已捕獲的數據包集合中設置過濾條件����,隱藏不想顯示的數據包�,只顯示符合條件的數據包。 注意:這兩種過濾器所使用的語法是完全不同的��,想想也知道�����,捕捉網卡數據的其實并不是Wireshark,而是WinPcap,當然要按WinPcap的規(guī)則來����,顯示過濾器就是Wireshark對已捕捉的數據進行篩選����。 使用捕獲過濾器的主要原因就是性能。如果你知道并不需要分析某個類型的流量�����,那么可以簡單地使用捕獲過濾器過濾掉它���,從而節(jié)省那些會被用來捕獲這些數據包的處理器資源���。當處理大量數據的時候��,使用捕獲過濾器是相當好用的����。 Wireshark攔截通過網卡訪問的所有數據����,前提是沒有設置任何代理。Wireshark不能攔截本地回環(huán)訪問的請求�����,即127.0.0.1或者localhost�����。 #過濾器具體寫法#顯示過濾器寫法1����、過濾值比較符號及表達式之間的組合2、針對ip的過濾ip.src == 192.168.0.1
ip.dst == 192.168.0.1
ip.addr == 192.168.0.1
- 如果想排除以上的數據包����,只需要將其用括號囊括���,然后使用 “!” 即可
!(ip.addr == 192.168.0.1)
3、針對協議的過濾- 獲某種協議的數據包�����,表達式很簡單僅僅需要把協議的名字輸入即可
http
注意:是否區(qū)分大小寫�?答:區(qū)分,只能為小寫 http or telnet
not arp 或者 !tcp
4�����、針對端口的過濾(視傳輸協議而定)tcp.port == 80
- 捕獲多端口的數據包�����,可以使用and來連接�����,下面是捕獲高于某端口的表達式(以udp協議為例)
udp.port >= 2048
5����、針對長度和內容的過濾udp.length < 20 http.content_length <=30
http.request.uri matches 'user' (請求的uri中包含“user”關鍵字的)
注意:matches 后的關鍵字是不區(qū)分大小寫的! http.request.uri contains 'User' (請求的uri中包含“user”關鍵字的)
注意:contains 后的關鍵字是區(qū)分大小寫的�! 5、針對http請求的一些過濾實例�����。- 過濾出請求地址中包含“user”的請求����,不包括域名;
http.request.uri contains 'User'
http.host==baidu.com
http.host contains 'baidu'
http.content_type =='text/html'
http.request.method=='POST'
tcp.port==80
http && tcp.port==80 or tcp.port==5566
http.response.code==302
http.cookie contains 'userid'
#捕捉過濾器寫法在wireshark的工具欄中點擊捕獲 →捕獲過濾器�����,可以看到一些過濾器的寫法�,如下圖: 1、比較符號與:&&或者and或:||或者or非:����!或者not
實例: src or dst portrange 6000-8000 && tcp or ip6
2、常用表達式實例src www.baidu.com
dst www.baidu.com
dst post 80
udp
|
