wireshark抓包工具常用筛选命令

最新推荐文章于 2024-10-17 18:44:22 发布
最新推荐文章于 2024-10-17 18:44:22 发布
阅读量4.2k 收藏 24
点赞数 3
CC 4.0 BY-SA版权
文章标签: wireshark 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BeFander/article/details/128583060
本文介绍了如何使用特定命令进行网络数据包过滤,包括基于IP地址、MAC地址、端口和通信协议的筛选,以及如何运用逻辑条件组合进行复杂筛选操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、IP地址过滤

ip.addr==192.168.1.114 //筛选出源IP或者目的IP地址是192.168.1.114的全部数据包。

ip.src==192.168.1.114 //筛选出源IP地址是182.254.110.91的数据包

ip.dst==192.168.1.114 //筛选出目的地址是192.168.1.114的数据包。

二、 MAC地址过滤

常用命令:

eth.addr==MAC //筛选出源MAC地址或者目的MAC地址使用的是 31:rf:e7:c7:41:c4的全部数据包。

eth.src==MAC //筛选出源MAC地址是31:rf:e7:c7:41:c4的数据包

eth.dst==MAC //筛选出目的MAC地址是31:rf:e7:c7:41:c4的数据包。

三、端口过滤

tcp.port==80 //根据TCP端口筛选数据包,包括源端口或者目的端口

tcp.dstport==80 //根据目的TCP端口筛选数据包。

tcp.srcport==80 //根据源TCP端口筛选数据包。

udp.port==4010 //根据UDP端口筛选数据包,包括源端口或者目的端口

udp.srcport==4010 //根据源UDP端口筛选数据包。

udp.dstport==4010 //根据目的UDP端口筛选数据包。

四、协议筛选

根据通讯协议进行筛选数据包,例如http协议、dns协议等等。常用协议有下:

udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip、

特殊命令:

1、筛选出http的GET数据包

命令:http.request.method==GET

含义:筛选出http协议采用get方式的数据包。注意GET一定要写成大写,否则出错。

2、筛选出http的POST数据包。

命令: http.request.method==POST

含义:筛选出采用http协议的post方式的数据包,注意POST参数一定要写成大写的,否则出错。

五、逻辑条件组合筛选

逻辑表达式汇总:

|| //逻辑或

&& //逻辑与

! //逻辑非

1、逻辑与筛选方法

命令:ip.src==192.168.1.114&&ip.dst==180.114.144.101

或(ip.src==192.168.1.114)&&(ip.dst==121.114.244.119)

含义:筛选出源ip地址是192.168.1.114并且目的地址是180.114.144.101的数据包。

2、逻辑或筛选

命令:ip.src==192.168.1.114||ip.src==182.254.110.91

含义:筛选出源IP地址是192.168.1.114或者源ip地址是182.254.110.91的数据包

3、逻辑非筛选

命令:!(ip.addr==192.168.1.114)

含义:筛选出不是192.168.1.114的数据包。

BeFander
关注
Wireshark常用过滤使用方法
文公子的博客
09-03 2328
Wireshark常用过滤使用方法 过滤源ip、目的ip。 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst192.168.101.8;查找源地址为ip.src1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在Filte
Wireshark 筛选功能详解:语法与示例
车载网络测试工程师的博客
06-11 1336
Wireshark筛选功能详解 本文介绍了Wireshark网络协议分析工具筛选功能,包含显示过滤器和捕获过滤器两大部分。显示过滤器采用[协议].[字段] [运算符] [值]的语法结构,支持多种逻辑运算符和协议字段过滤(IP、TCP、UDP、HTTP等),并提供了复合表达式示例。捕获过滤器使用BPF语法,可基于主机/端口、协议类型、网络范围等条件在捕获时过滤数据。文章还对比了两者的区别,指出捕获过滤器应用于数据捕获阶段,而显示过滤器用于后期分析,前者效率更高但后者更灵活。最后介绍了高级筛选技巧如比较运算符
WireShark 语法
bosy_xu的专栏
09-18 2554
<br />总体条件语法<br />||(或),&&(与),或者使用英文:and,or<br />例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />         ip.src eq 192.168.1.107 || ip.dst eq 192.168.1.107<br /> <br />条件表达式:<br />等于:==  或者 eq<br />大于: > 或者 gt<br />小于:< 或者  lt<br />不大于: <= 或者 l
wireshark常用过滤命令
教Linux的李老师
06-24 1万+
wireshark常用过滤命令
Wireshark 抓包过滤命令汇总
weixin_45626288的博客
08-17 6795
通过合理使用 Wireshark 的过滤命令,您可以将注意力集中在感兴趣的数据包上,从而更加高效地进行网络数据包分析。本文介绍了一些常用的过滤命令,希望能够帮助您在使用 Wireshark 进行网络分析时取得更好的效果。无论是解决网络问题还是检测安全威胁,Wireshark 都将是您强大的助手。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark抓包常用指令
MusicScore的博客
06-20 1585
addr,即包含src 也包含 dst 进一步过滤,tcp协议包,这里len == 24表示,表示TCP负载长度24,这个通常很有用 udp抓包案例分析 640 = 632 + 8 2.UDP报文结构 这里讲一下关键的点前面几个图可以看到Checksum,校验和。 TCP的数据包的校验和计算的数据来源包括三部分:TCP伪首部和TCP首部和TCP数据。TCP计算校验和引入了伪首部,包括后面介绍的UDP。如下图所示,TCP伪首部包括:源地址(32 bit),目标地址(32 bit),Zero
Wireshark 抓包常用过滤命令
baidu_41240438的博客
10-12 1612
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3767
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用抓包工具抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
  WireShark 抓包使用教程--详细
HarveyH的博客
02-06 12万+
WireShark 抓包使用教程--详细 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 Wires...
wireshark常用筛选命令
victorwjw的博客
01-12 4834
wireshark常用筛选命令
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 3778
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
网络安全学习笔记(2)
qq_40316844的博客
08-23 1321
Wireshark的使用 这篇文章在于使用Wireshark,同样下载和安装方面就不再赘述,具体的方法自行百度,总体安装较为成功,并未出现任何问题。打开Wirshark: 首先选择需要监听的网卡,可以选择自己现在正在上网的网卡,选择后开始抓包,接下来最重要的就是过滤:这里介绍了一些基础的使用方法 过滤源ip、目的ip 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为19...
wireshark常用的过滤命令
陈万洲的专栏
04-20 2669
1.ip过滤 查找目的地址:ip.dst==192.168.101.8 查找源地址:ip.src==1.1.1.1   2.端口过滤 源端口和目的端口:tcp.port==80 目的端口:tcp.dstport==80 滤源端口:cp.srcport==80   3.协议过滤 直接输入协议名   4.http模式过滤 过滤get包,http.request.method=
Wireshark常用过滤命令
dianqi6135的博客
12-16 364
WireShark在我们网络编程中有非常重要的作用,可以帮我们抓取我们程序发送的数据包,大家常常说他是抓包工具,其实它是一款非常强大的网络数据包分析工具。 在WireShark的学习上,不想花费太多的时间,我一般都是简单的应用,所以就想记录下常用的过滤语句。 1.协议过滤只看UDP   udp   可以根据抓取到的目标地址来判断单播、组播、多播。 2.只看TCP   tcp ...
Wireshark抓包工具使用教程下载
最新发布
06-29
### Wireshark 抓包工具使用教程及下载方法 Wireshark 是一款非常流行的网络抓包分析工具,能够截取各种网络数据包并显示其详细信息。对于开发者和网络管理员来说,它是定位问题和调试网络通信的重要工具之一。以下是关于 Wireshark 的使用教程、下载方式以及一些基础操作的详细介绍。 #### 下载最新版 Wireshark Wireshark 的官方下载页面提供了适用于不同操作系统的安装包,包括 Windows、macOS 和 Linux 发行版。访问 [Wireshark 官方网站](https://www.wireshark.org/) 可以获取最新版本的安装程序[^2]。 - **Windows 用户**:选择 `Stable Release` 进行下载,通常会包含 WinPcap 或 Npcap 的安装选项(用于支持网络接口的捕获功能)。 - **macOS 用户**:需要额外安装 XQuartz 以支持图形界面,并确保系统允许安装非 App Store 来源的应用程序[^1]。 - **Linux 用户**:可以通过发行版的软件包管理器进行安装,例如在 Ubuntu 上可以使用命令 `sudo apt install wireshark` 安装。 #### 安装 Wireshark 安装过程较为简单,按照安装向导的提示逐步完成即可。需要注意的是,在安装过程中可以选择是否安装 WinPcap/Npcap 驱动(Windows 系统),该驱动是实现网络数据包捕获的关键组件[^1]。 #### 实施抓包 启动 Wireshark 后,用户可以在主界面上看到所有可用的网络接口列表。点击想要监听的网络接口即可开始实时抓包。如果需要停止抓包,可以点击工具栏上的“停止”按钮。 为了更高效地筛选所需的数据包,Wireshark 提供了两种类型的过滤器: - **捕获过滤器**:在开始抓包前设置,仅捕获符合条件的数据包。 - **显示过滤器**:在抓包完成后应用,用于筛选已捕获的数据包列表。 例如,要只查看 HTTP 协议相关的流量,可以在显示过滤器中输入 `http` 并按回车键确认[^3]。 #### 使用显示过滤器 显示过滤器是分析数据包时最常用工具之一。它允许用户根据特定条件筛选出感兴趣的数据包。常见的显示过滤器语法包括: - 按协议过滤:`tcp`, `udp`, `icmp` - 按 IP 地址过滤:`ip.addr == 192.168.1.1` - 按端口号过滤:`tcp.port == 80` 通过组合这些条件,可以构建复杂的查询表达式来精确定位问题所在[^3]。 #### 分析数据包层次结构 每个被捕获的数据包都可以展开查看其各个层级的协议头信息。例如,一个 TCP/IP 数据包通常包含以太网帧头部、IP 头部、TCP 头部以及应用层负载等部分。了解这些结构有助于深入理解网络通信的过程。 此外,Wireshark 还支持将选定的数据包导出为多种格式,如 CSV、PSV、XML 和 JSON 等,方便进一步处理或分享分析结果。 ```python # 示例代码:如何用 Python 脚本调用 tshark (Wireshark 命令行版本) import subprocess def run_tshark(filter_expression): command = [ 'tshark', '-f', filter_expression, '-w', 'output.pcap' ] process = subprocess.Popen(command, stdout=subprocess.PIPE, stderr=subprocess.PIPE) stdout, stderr = process.communicate() if process.returncode != 0: print("Error running tshark:", stderr.decode()) else: print("Captured packets saved to output.pcap") run_tshark("tcp port 80") ``` 以上脚本演示了如何使用 Python 调用 `tshark` 工具,并指定一个捕获过滤器来保存符合规则的数据包到文件中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值