Wireshark过滤基础语法简析

最新推荐文章于 2025-04-08 09:36:55 发布
最新推荐文章于 2025-04-08 09:36:55 发布
阅读量576 收藏 9
点赞数 8
CC 4.0 BY-SA版权
分类专栏: Wireshark 文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AsarumMaxim/article/details/137159417
本文介绍了Wireshark这款网络分析工具,重点讲解了其捕获过滤和显示过滤功能,以及BPF和Wireshark两种过滤语法的基本写法及其示例应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.简介

Wireshark是一款强大的网络分析工具,它可以捕获和显示网络上的数据包,并提供多种过滤功能,让用户可以快速地找到自己感兴趣的数据包。

Wireshark的过滤功能分为两种:捕获过滤和显示过滤。

  • 捕获过滤是在数据包进入Wireshark之前就对其进行筛选,只保留符合条件的数据包,从而减少捕获的数据量。
  • 显示过滤是在数据包已经进入Wireshark之后,对其进行再次筛选,只显示符合条件的数据包,从而方便用户分析。

Wireshark的过滤语法有两种:BPF语法和Wireshark语法。

  • BPF语法是一种通用的数据包过滤语言,它可以用于多种网络分析工具,如tcpdump、libpcap等。
  • Wireshark语法是一种专门为Wireshark设计的过滤语言,它可以利用Wireshark的协议解析能力,对数据包的各个层次和字段进行过滤。

本文是Wireshark部分的第一节,介绍两种过滤语法的基本写法。

2.BPF语法

BPF语法的基本格式是:

类型 方向 协议 地址 端口

其中,

  • 类型-表示数据包的类型,可以是host、net、port、portrange等;
  • 方向-表示数据包的方向,可以是src、dst、src and dst、src or dst等;
  • 协议-表示数据包的协议,可以是ip、tcp、udp、icmp等;
  • 地址-表示数据包的主机地址,可以是IP地址或域名;
  • 端口-表示数据包的端口号
最低0.47元/天 解锁文章
玩转网络抓包利器:Wireshark常用协议分析讲解
ztK63LrD的博客
02-22 3011
Wireshark是一个开源的网络协议分析工具,它能够捕获和分析网络数据包,并以用户友好的方式呈现这些数据包的内容。Wireshark 被广泛应用于网络故障排查、安全审计、教育及软件开发等领域。
Wireshark网络抓包工具使用简析(附加网易云音乐抓包分析)
Alexz__的博客
02-26 6648
1,wireshark介绍 2,基础使用总结 3,抓一个ping的icmp包 4,综合抓取pc端应用程序包 壹 什么是wiresharkWireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 ——...
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
wireShark捕获规则语法,tcpdump基本使用
General_zy的博客
04-26 2749
ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。而免费ARP的请求报文中,目标IP地址是自己的IP地址。
Wireshark 中如何筛选数据包
最新发布
qq_40898302的博客
04-08 1242
语法与显示过滤器不同。,语法类似于编程语言中的条件表达式。可以点击 Expression...在 Wireshark 的。按钮查看支持的协议和字段。
wireshark常用协议过滤
weixin_56306210的博客
07-12 1万+
wireshark常用协议过滤
理解IEC61850模型与MMS报文:从ICD到CID的配置解析
"该文档是关于IEC61850模型建模及MMS报文分析的详细教程,涵盖了模型文件类型、模型验证、IED配置、数据对象和属性、...这份文档提供了深入学习IEC61850模型和MMS通信的基础,对于理解和调试智能变电站系统非常有价值。
Wireshark显示过滤器常用关键字及过滤表达式
geriletuma
08-15 5236
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式。
Wireshark 基础 | 显示过滤
7ACE的博客
04-05 8484
Wireshark 基础 | 显示过滤
https(ssl)协议以及wireshark抓包分析与解密
Q1n6
11-30 11万+
根据之前一篇安全协议的分析中分析了ssl协议,先回顾下ssl协议的内容然后用wireshark来抓包看具体流量包内容。          SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。S
WireShark抓包学习
qq_45007794的博客
01-01 852
下图中,即为一条条数据包。点击某一条数据包后可看见该数据的详细信息,包含了物理层、IP层和TCP协议的相关信息。
【转】BPF详解
mrhesongze的博客
09-25 1万+
原文地址:https://linux.cn/article-9507-1.html 什么是 BPF? BPF,及伯克利包过滤器BerkeleyPacketFilter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核...
Wireshark抓包及常用过滤方法
liu_yanxiaobai的博客
05-24 2万+
一、抓包 实际遇到组件服务间的报错问题时,通过日志无法快速看出原因,可通过抓包的方式来快速查看接口返回信息及错误提示,使用如下命令可实现对某个端口进行抓包: tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号 二、常用过滤方法 通过以上命令抓取到tcp协议的报文后,使用Wireshark打开xxx.pcap文件,在过滤框(Fileter)中输入相应的过滤表达式可快速筛选想看的接口间的请求报文: 1.过滤源(source)ip和
网络安全学习笔记(2)
qq_40316844的博客
08-23 1314
Wireshark的使用 这篇文章在于使用Wireshark,同样下载和安装方面就不再赘述,具体的方法自行百度,总体安装较为成功,并未出现任何问题。打开Wirshark: 首先选择需要监听的网卡,可以选择自己现在正在上网的网卡,选择后开始抓包,接下来最重要的就是过滤:这里介绍了一些基础的使用方法 过滤源ip、目的ip 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为19...
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark基础语法实例演示
Yushiba972的博客
04-28 1350
实例介绍wireshark常见基本过滤语法
BPF进阶 - BPF常用命令
ulangch的博客
05-28 6294
这篇文章主要解析常用的BPF命令 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&amp;amp;amp;amp;amp;amp;sektion=4&amp;amp;amp;amp;amp;amp;manpath=FreeBSD | 4.7-RELEASE 上篇文章 BPF初探 - Android(DhcpClient)中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则...
Wireshark分析SSL协议
时光漫步
08-28 9213
SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。 SSL/TLS位于传输层和应用层之间,应用层数据不再直接传递
wireshark过滤常用语法
03-21
### Wireshark 过滤器常用语法 Wireshark 是一款强大的网络数据包捕获工具,其过滤功能分为两种主要类型:**抓包过滤器**和**显示过滤器**。这两种过滤器的语法不同,在实际应用中需根据需求选择合适的过滤方式。 #### 抓包过滤器 抓包过滤器基于 Berkeley Packet Filter (BPF) 的语法实现[^3]。它用于在网络接口上实时筛选流量,减少不必要的数据存储到磁盘中。以下是常用的 BPF 语法规则: - **协议指定**: 可通过 `protocol` 参数限定特定协议的数据包。例如: ```bash tcp # 捕获 TCP 协议的数据包 udp # 捕获 UDP 协议的数据包 icmp # 捕获 ICMP 协议的数据包 ``` - **方向控制**: 使用 `src`, `dst`, 或组合形式来定义源或目标地址的方向。 ```bash src host 192.168.1.1 # 来自 IP 地址 192.168.1.1 的数据包 dst net 10.0.0.0/8 # 发往网段 10.0.0.0/8 的数据包 src port 80 # 来自端口 80 的数据包 not broadcast # 排除广播数据包 ``` - **逻辑运算符**: 支持 `and`, `or`, 和 `not` 组合条件。 ```bash tcp and src host 192.168.1.1 # 同时满足 TCP 流量且来自该主机 udp or icmp # 满足 UDP 或者 ICMP 数据包 not arp # 不包含 ARP 协议的数据包 ``` 对于仅关注某一类协议的情况,推荐优先使用抓包过滤器以提高效率并节省资源[^1]。 --- #### 显示过滤器 显示过滤器允许用户在已捕获的数据集中进一步筛选感兴趣的内容。它的语法更加灵活直观,适合复杂查询场景。以下是一些常见表达式及其含义: - **基础字段匹配** ```plaintext http.request.method == "GET" # 查找 HTTP GET 请求 dns.qry.name contains example.com # DNS 查询名称包含 example.com tcp.flags.syn eq 1 # 找出 SYN 标志位被设置的 TCP 数据包 ip.addr == 192.168.1.1 # 匹配任意一方为给定 IP 的通信 ``` - **数值范围比较** ```plaintext frame.len >= 100 # 数据帧长度大于等于 100 字节 tcp.port geq 1024 leq 65535 # 端口号介于 1024 到 65535 之间 ``` - **字符串模糊查找** ```plaintext http.host matches "(?i).*google.*" # 主机名大小写不敏感地包含 google 关键字 data.text contains "error message" # 数据载荷部分存在错误消息提示 ``` 当处理少量流量或者需要深入分析已有数据集时,应考虑采用显示过滤器[^2]。 更多详细的协议字段说明可以访问官方文档链接获取最新资料。 --- ```python # 示例脚本展示如何利用 Python 调用 tshark 工具执行简单过滤操作 import subprocess def run_tshark_filter(filter_expression): command = ["tshark", "-R", filter_expression, "-r", "input.pcap"] result = subprocess.run(command, stdout=subprocess.PIPE, stderr=subprocess.PIPE) return result.stdout.decode() filter_expr = 'http.request.method == "POST"' output = run_tshark_filter(filter_expr) print(output) ``` 上述代码片段演示了调用 TShark 实现读取 PCAP 文件并通过显示过滤器提取 POST 方法请求的过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值