wireshark 过滤分析

最新推荐文章于 2025-06-13 14:39:01 发布
最新推荐文章于 2025-06-13 14:39:01 发布
阅读量5.3k 收藏 15
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BlueBirdssh/article/details/89414099
本文详细介绍Wireshark中各种过滤器的使用方法,包括IP、端口、协议、包长度、HTTP模式过滤等,帮助读者掌握精确抓取和显示网络数据包的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、IP过滤:包括来源IP或者目标IP等于某个IP

比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP


二、端口过滤:

比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80


三、协议过滤:

tcpudp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl


四、包长度过滤:

比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后


五、http模式过滤:

例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包包含某头字段
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包包含某头字段
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包包含某头字段
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”


六、连接符

   and / or


七、表达式:

!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)


八、wireshark filter contains 过滤器的用法

 

1.expert.message是用来对info信息过滤,主要配合contains来使用

2.过滤TCP协议端口5000,且TCP数据中包含有连续的数据:0x00 00 02 00 00 00 00 01 的正确写法如下:

tcp.port==5000 and tcp contains 00-00-02-00-00-00-00-01
不能写为:   tcp.port==5000 and tcp.data contains 0000020000000001
也不能写为: tcp.port==5000 and tcp contains "00-00-02-00-00-00-00-01"
也不能写为: tcp.port==5000 and tcp contains 0x000002

130604:
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp  contains a7-d8-c1
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   data contains a7-d8-c1
不能用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp.data contains a7-d8-c1

九、抓取过滤规则

9.1 只抓取HTTP报文

tcp port 80

解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81

9.2 .只抓取arp报文

ether proto 0x0806

解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000

9.3 只抓取与某主机的通信

host www.cnblogs.com

只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址

十、显示过滤规则

只是将已经抓取到的包进行过滤显示。

在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可

1.只显示HTTP报文

tcp.port == 80

2.只显示ARP报文

eth.type == 0x806

3.只显示与某主机的通信

ip.addr == 42.121.252.58

 

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3754
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark网络抓包(二)——过滤
weixin_30834019的博客
02-04 515
一、捕获过滤器 选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。 1)捕获单个IP地址 2)捕获IP地址范围 3)捕获广播或多播地址 4)捕获MAC地址 5)捕获所有端口号 6)捕获特定ICMP数据 当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。 在这种情况下,用户必须使用一个偏移量表示一个ICMP中...
Wireshark过滤规则
云淡风轻
03-06 3392
http.host==magentonotes.com http.host contains magentonotes.com //过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名 http.response.code==302 //过滤http响应状态码为302的数据包 http.response==1 //过滤所有的http响应包 http.request==1 /...
wireshark过滤规则及使用方法
最新发布
weixin_43536460的博客
06-13 336
筛选出目标MAC地址为`A0:00:00:04:C5:84`的数据包:`eth.dst == A0:00:00:04:C5:84`- 筛选出源MAC地址为`A0:00:00:04:C5:84`的数据包:`eth.src == A0:00:00:04:C5:84`- 筛选出端口号为80的数据包:`tcp.port == 80` 或 `udp.port == 80`- 可以使用`and`(与),`or`(或),`not`(非)进行逻辑组合。- 例如,要筛选出所有TCP协议的数据包,可以输入 `tcp`。
Wireshark过滤
GY_1202的博客
06-10 7994
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
wireshark过滤包规则
qq_40298645的博客
06-21 6726
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
这些Wireshark过滤条件,让你的Wireshark网络分析变得更加高效
程序员野蛮成长
08-12 1000
Wireshark 是一款开源网络数据包分析工具,可以用于捕获、分析和调试网络数据包。在使用 Wireshark 进行数据包分析时,常常需要使用过滤条件来过滤数据包,以便查找特定的数据包或者分析网络性能。
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器是 Wireshark 和 TShark 中的一个强大功能,能够帮助...Wireshark 过滤器是 Wireshark 和 TShark 中一个非常强大和灵活的功能,能够帮助用户快速地查找和分析数据包。
wireShark常用过滤规则
ckm1607011的博客
05-11 2007
在filter框中输入过滤条件可以指定显示满足条件的数据包; 1.过滤源ip:ip.src==192.186.0.107,则只显示源ip等于192.186.0.107的数据包; 2.过滤目的ip:ip.dst==192.186.0.101,则只显示目的ip等于192.186.0.101的数据包; 3.端口过滤:tcp.port==80,则只显示源端口和目的端口为80的数据包;tcp.srcport==80,则只显示源端口为80的数据包;tcp.dstport==80,则只显示目的端口为80的数据包
Wireshark内容过滤方法
热门推荐
情义唯真,友谊方长存
02-23 2万+
关键字说明: “eq” 和 “==”表示等同,and” 表示并且,“or”和“||”表示或者。“!” 和 “not”表示取反。过滤方法: 一、针对IP地址的过滤。   (1)源地址    表达式为:ip.src == 192.168.0.1    ip.src == 10.230.0.0/16 显示来自10.230网段的封包。   (2)目的地址
wireshark过滤
Alps__的专栏
02-23 503
1.协议过滤语法 按协议的属性值进行过滤: ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6ip.src == 10.230.0.0/16显示来自10.230网段的封包。 tcp.port == 25显示来源或目的TCP端口号为25的封包。tcp.dstport == 25显示目的TCP端口号为
wireshark过滤命令
justforme123的专栏
12-21 925
[协议名] contains 字符串(或16进制),eg: 比如查找sip协议包含某个事务的所有报文,这个事务id的末尾几位对应的十六进制为: 67:61:62:72,就可以用sip contains 67:61:62:72来找到。 对于http协议可以简单的用http contains baidu.com来过滤 ip.addr == 10.0.0.1 [Sets a filter f...
Wireshark CLI | 过滤包含特定字符串的流
7ACE的博客
05-04 1530
Wireshark CLI | 过滤包含特定字符串的流
使用wireshark过滤/查找协议里面的特定内容
Fems_123_的博客
06-24 1万+
一、使用wireshark命令过滤: 1.tcp的载荷:tcp contains "/api" 说明:在tcp报文中过滤出含有 /api 内容的报文; 如下图: 2.其它类型协议同理可以尝试: http contains "sense_version" 二、通过追踪流进一步查找自己需要的内容: 1.点击上面过滤的报文,右键选择对应的流,如下图: 2.在查找框中输入自己需要查询的内容: ...
wireshark部分过滤规则
曲终人散
12-08 521
http过滤 http.request.method == “GET” http.request.method == “POST” GET包 http.request.method == “GET” && http contains “Host: “ http.request.method == “GET” && http contains “User-Agent: “ POS
wireshark过滤器的使用
qalx9的博客
08-27 910
抓包采用 wireshark,提取特征时,要对 session 进行过滤,找到关键的stream,这里总结了 wireshark 过滤的基本语法,供自己以后参考。这里过滤我们还可以进行更精细的过滤,比如过滤出你想要的源ip或者是目标ip或者端口,这些都是同理。我们直接翻到最后这个请求数据库的包,那这个包大概率就是黑客进行爆破成功的包,会含有我们数据库的账号和密码。捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
此时是手机刷快手极速版视频一直不加载,有哪些怀疑方向呢?又如何配合wireshark过滤分析呢?是不是三次握手没有建立成功导致?怎么查看呢?
03-13
嗯,用户现在遇到了手机刷快手极速版视频一直不加载的问题,想知道可能的原因以及如何用Wireshark分析,特别是三次握手是否成功。首先,我需要回顾之前的历史对话,用户之前询问过如何抓包分析快手极速版的域名,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值