wireshark抓包工具常用筛选命令

最新推荐文章于 2025-03-11 18:10:05 发布
最新推荐文章于 2025-03-11 18:10:05 发布
阅读量4.1k 收藏 24
点赞数 3
文章标签: wireshark 网络 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BeFander/article/details/128583060
版权

一、IP地址过滤

ip.addr==192.168.1.114 //筛选出源IP或者目的IP地址是192.168.1.114的全部数据包。

ip.src==192.168.1.114 //筛选出源IP地址是182.254.110.91的数据包

ip.dst==192.168.1.114 //筛选出目的地址是192.168.1.114的数据包。

二、 MAC地址过滤

常用命令:

eth.addr==MAC //筛选出源MAC地址或者目的MAC地址使用的是 31:rf:e7:c7:41:c4的全部数据包。

eth.src==MAC //筛选出源MAC地址是31:rf:e7:c7:41:c4的数据包

eth.dst==MAC //筛选出目的MAC地址是31:rf:e7:c7:41:c4的数据包。

三、端口过滤

tcp.port==80 //根据TCP端口筛选数据包,包括源端口或者目的端口

tcp.dstport==80 //根据目的TCP端口筛选数据包。

tcp.srcport==80 //根据源TCP端口筛选数据包。

udp.port==4010 //根据UDP端口筛选数据包,包括源端口或者目的端口

udp.srcport==4010 //根据源UDP端口筛选数据包。

udp.dstport==4010 //根据目的UDP端口筛选数据包。

四、协议筛选

根据通讯协议进行筛选数据包,例如http协议、dns协议等等。常用协议有下:

udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip、

特殊命令:

1、筛选出http的GET数据包

命令:http.request.method==GET

含义:筛选出http协议采用get方式的数据包。注意GET一定要写成大写,否则出错。

2、筛选出http的POST数据包。

命令: http.request.method==POST

含义:筛选出采用http协议的post方式的数据包,注意POST参数一定要写成大写的,否则出错。

五、逻辑条件组合筛选

逻辑表达式汇总:

|| //逻辑或

&& //逻辑与

! //逻辑非

1、逻辑与筛选方法

命令:ip.src==192.168.1.114&&ip.dst==180.114.144.101

或(ip.src==192.168.1.114)&&(ip.dst==121.114.244.119)

含义:筛选出源ip地址是192.168.1.114并且目的地址是180.114.144.101的数据包。

2、逻辑或筛选

命令:ip.src==192.168.1.114||ip.src==182.254.110.91

含义:筛选出源IP地址是192.168.1.114或者源ip地址是182.254.110.91的数据包

3、逻辑非筛选

命令:!(ip.addr==192.168.1.114)

含义:筛选出不是192.168.1.114的数据包。

BeFander
关注
Wireshark常用过滤使用方法
文公子的博客
09-03 2268
Wireshark常用过滤使用方法 过滤源ip、目的ip。 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst192.168.101.8;查找源地址为ip.src1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包 协议过滤 比较简单,直接在Filte
Wireshark抓包常用指令
MusicScore的博客
06-20 1524
addr,即包含src 也包含 dst 进一步过滤,tcp协议包,这里len == 24表示,表示TCP负载长度24,这个通常很有用 udp抓包案例分析 640 = 632 + 8 2.UDP报文结构 这里讲一下关键的点前面几个图可以看到Checksum,校验和。 TCP的数据包的校验和计算的数据来源包括三部分:TCP伪首部和TCP首部和TCP数据。TCP计算校验和引入了伪首部,包括后面介绍的UDP。如下图所示,TCP伪首部包括:源地址(32 bit),目标地址(32 bit),Zero
Wireshark 实用篇2:Wireshark 抓包常用过滤命令
liuzhen007的专栏
12-25 2万+
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
03-11 899
大家都知道,它可以截获和分析网络数据封包,检测网络上的问题,比如网络延迟、数据丢失、拥堵等,以及评估网络性能。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时,通过Wireshark抓包定位问题根源,是最直接有效的手段。虽然Wireshark功能强大,但是很多网工使用时一知半解,会碰到许多问题。
WireShark 语法
bosy_xu的专栏
09-18 2530
<br />总体条件语法<br />||(或),&&(与),或者使用英文:and,or<br />例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />         ip.src eq 192.168.1.107 || ip.dst eq 192.168.1.107<br /> <br />条件表达式:<br />等于:==  或者 eq<br />大于: > 或者 gt<br />小于:< 或者  lt<br />不大于: <= 或者 l
wireshark常用过滤命令
教Linux的李老师
06-24 8695
wireshark常用过滤命令
Wireshark 抓包过滤命令汇总
weixin_45626288的博客
08-17 6738
通过合理使用 Wireshark 的过滤命令,您可以将注意力集中在感兴趣的数据包上,从而更加高效地进行网络数据包分析。本文介绍了一些常用的过滤命令,希望能够帮助您在使用 Wireshark 进行网络分析时取得更好的效果。无论是解决网络问题还是检测安全威胁,Wireshark 都将是您强大的助手。
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark 抓包常用过滤命令
baidu_41240438的博客
10-12 1526
使用 Wireshark 工具进行网络抓包属于研发人员的基础技能,如果你还不了解,建议从现在开始学习和掌握一些基础的使用方法。今天就来先了解一下 Wireshark 常用抓包过滤命令
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3282
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
  WireShark 抓包使用教程--详细
HarveyH的博客
02-06 12万+
WireShark 抓包使用教程--详细 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 Wires...
这年头谁还不会抓包WireShark 抓包常用协议分析送给你
CCIE21820的博客
07-27 1261
这年头谁还不会抓包WireShark 抓包常用协议分析送给你
wireshark常用筛选命令
victorwjw的博客
01-12 4749
wireshark常用筛选命令
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 3151
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
网络安全学习笔记(2)
qq_40316844的博客
08-23 1306
Wireshark的使用 这篇文章在于使用Wireshark,同样下载和安装方面就不再赘述,具体的方法自行百度,总体安装较为成功,并未出现任何问题。打开Wirshark: 首先选择需要监听的网卡,可以选择自己现在正在上网的网卡,选择后开始抓包,接下来最重要的就是过滤:这里介绍了一些基础的使用方法 过滤源ip、目的ip 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为19...
wireshark常用的过滤命令
陈万洲的专栏
04-20 2634
1.ip过滤 查找目的地址:ip.dst==192.168.101.8 查找源地址:ip.src==1.1.1.1   2.端口过滤 源端口和目的端口:tcp.port==80 目的端口:tcp.dstport==80 滤源端口:cp.srcport==80   3.协议过滤 直接输入协议名   4.http模式过滤 过滤get包,http.request.method=
Wireshark常用过滤命令
dianqi6135的博客
12-16 358
WireShark在我们网络编程中有非常重要的作用,可以帮我们抓取我们程序发送的数据包,大家常常说他是抓包工具,其实它是一款非常强大的网络数据包分析工具。 在WireShark的学习上,不想花费太多的时间,我一般都是简单的应用,所以就想记录下常用的过滤语句。 1.协议过滤只看UDP   udp   可以根据抓取到的目标地址来判断单播、组播、多播。 2.只看TCP   tcp ...
Wireshark筛选规则怎么设置
最新发布
03-26
<think>好的,我现在需要帮助用户了解如何在Wireshark中设置筛选规则。首先,我需要回顾用户提供的引用内容,尤其是引用[4]和引用[1],因为它们提到了过滤器的类型和基本用法。用户的问题是关于设置筛选规则的使用方法,所以需要分步骤解释。 首先,我应该区分显示过滤器和捕获过滤器,因为这两个概念在Wireshark中是不同的。根据引用[4],抓包过滤器使用BPF语法,而显示过滤器是在捕获后应用的。引用[1]提到在抓包完成后设置显示过滤条件,所以需要明确这两个步骤的不同。 接下来,需要详细说明捕获过滤器的设置位置,通常在开始捕获前的“捕获选项”中,使用BPF语法,比如host、port等。同时,引用[2]提到了自动创建过滤器来避免捕捉远程连接,这可能涉及更复杂的条件,但用户可能需要基础示例,如过滤特定主机的流量。 然后是显示过滤器的使用,在过滤栏输入表达式,比如http或tcp.port==80。这里需要举例说明不同的协议和条件组合,比如逻辑运算符的使用,如&&、||等,如引用[4]提到的。同时,引用[3]中的TCP三次握手分析可能需要使用tcp.flags.syn==1之类的过滤器,可以作为一个例子。 用户可能需要常见的筛选规则示例,比如过滤IP、端口、协议,排除特定流量等。需要列出具体例子,并解释每个部分的作用,比如src host 192.168.1.1表示源地址是该IP的数据包。 另外,需要提醒用户注意语法问题,比如区分大小写,使用正确的运算符,以及实时验证过滤器的有效性。引用[4]中的逻辑运算符是&&、||、!,但实际在显示过滤器中可能使用不同的符号,比如"and"、"or"、"!",需要确认Wireshark的具体语法。 最后,生成相关问题,帮助用户进一步学习,比如如何分析TCP握手或优化捕获性能。这些问题应该基于引用中的内容,比如引用[3]中的TCP三次握手,引用[5]提到的渗透测试工具中的Wireshark应用。 总结步骤:区分两种过滤器,详细说明设置步骤,提供常见示例,注意语法问题,生成相关问题。确保引用正确的来源,如引用[4]和引用[1]中的内容,并在适当的位置添加引用标识。</think>### Wireshark筛选规则设置方法教程 Wireshark筛选规则分为**抓包过滤器**(Capture Filter)和**显示过滤器**(Display Filter)两种类型,分别作用于数据包捕获前和捕获后阶段。 --- #### **一、抓包过滤器(Capture Filter)** **作用**:在开始捕获数据包前设置,仅抓取符合条件的数据包,减少无关流量干扰[^4]。 **设置步骤**: 1. 打开Wireshark,点击菜单栏的 `捕获` > `捕获选项`。 2. 在 `输入` 栏下方的过滤框中输入BPF(Berkeley Packet Filter)语法规则。 3. 点击 `开始` 开始抓包。 **常用语法**: - **协议过滤**:`tcp`、`udp`、`icmp` - **方向过滤**:`src`(源)、`dst`(目的) - **IP/端口过滤**:`host 192.168.1.1`、`port 80` - **逻辑运算符**:`&&`(与)、`||`(或)、`!`(非) **示例**: - 抓取来自IP `192.168.1.1` 的HTTP流量: `src host 192.168.1.1 && tcp port 80` - 排除ARP和DNS流量: `! arp && ! dns` --- #### **二、显示过滤器(Display Filter)** **作用**:在已捕获的数据包中动态筛选目标数据,支持更复杂的条件[^1]。 **设置步骤**: 1. 在Wireshark主界面顶部的 `显示过滤器` 输入框中输入规则。 2. 按回车或点击右侧箭头应用规则。 **常用语法**: - **协议/字段过滤**:`http`、`tcp.port==80`、`ip.src==192.168.1.1` - **逻辑运算符**:`and`、`or`、`not` - **比较符**:`==`(等于)、`!=`(不等于)、`contains`(包含) **示例**: - 筛选HTTP请求且目标端口为80: `http and tcp.dstport == 80` - 查找包含字符串"login"的POST请求: `http.request.method == "POST" and http contains "login"` --- #### **三、常见筛选场景** 1. **过滤特定IP流量**: `ip.addr == 192.168.1.1` 2. **分析TCP三次握手**: `tcp.flags.syn == 1 and tcp.flags.ack == 0`(筛选SYN包)[^3] 3. **排除干扰协议**: `not arp and not dns` 4. **匹配特定应用层协议**: `http` 或 `ftp` --- #### **四、注意事项** 1. 显示过滤器支持自动补全(输入字段时按 `Tab` 键)。 2. 无效语法会显示红色背景,正确语法为绿色。 3. 复杂条件可通过表达式对话框(右侧书签图标)辅助生成。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值