WireShark 过滤表达式

最新推荐文章于 2024-08-15 23:01:38 发布
最新推荐文章于 2024-08-15 23:01:38 发布
阅读量816 收藏
点赞数
分类专栏: Other tools 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Thousa_Ho/article/details/70174627
版权

常用关键字

关键字含义
eq / ==等于
and
or
!/not

过滤ip地址

  1. 过滤源ip地址

    ip.src == 192.168.0.1

  2. 过滤目的ip地址

    ip.dst == 192.168.0.1

  3. 抓取满足源或者目的地址的ip地址是192.168.0.1的包

    ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

过滤协议

  1. 仅仅需要捕获某种协议的数据包
  
   表达式为:http

  2. 需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
  
   表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
  
  3. 排除某种协议的数据包
  
   表达式为:not arp !tcp

过滤端口

  1. 捕获某一端口的数据包

       表达式为:tcp.port == 80
      

  2. 捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式

       表达式为:udp.port >= 2048

过滤长度和内容

  1. 针对长度的过滤(这里的长度指定的是数据段的长度)

       表达式为:udp.length < 30 http.content_length <=20
      

  2. 针对数据包内容的过滤

         表达式为:http.request.uri matches “vipscu” (匹配http请求中含有vipscu字段的请求信息)

Wireshark使用教程(界面说明、捕获过滤表达式、显示过滤表达式
weixin_37910058的博客
08-22 1838
Wireshark使用教程(界面说明、捕获过滤表达式、显示过滤表达式) 一、说明 1.1 背景说明 对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。 一是界面一堆窗口,什么作用...
Wireshark过滤表达式的规则
Mr.horse的博客
11-30 1427
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。ICMP,只显示ICMP协议的数据包列表。
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)
大叶子不小的博客
08-16 6687
通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。(3)对源或者目的地址192.168.0.1的包的过滤,即抓取满足源或者目的地址ip地址192.168.0.1的包。多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。(2)对目的地址192.168.0.1的包的过滤,即抓取目的地址满足要求的包。(1)对源地址192.168.0.1的包的过滤,即抓取源地址满足要求的包。表达式为:udp.port >= 2048 (以udp协议为例)
Wireshark 实用过滤表达式
u012632105的博客
12-11 431
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) - 沧海一滴 - 博客园.
wireshark 实用过滤表达式
weixin_49231595的博客
01-13 1万+
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 1.关键字 “与”:“eq”和“==”等同,可以使用“and”表示并且, “或”:“or”表示或者。 “非”:“!"和"not”都表示取反。 多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。 2.针对ip过滤 针对wireshark最常用的自然是针对IP地址过滤。其中有几种情况:   (1)对源地址192.168.0.1的包的过滤,即抓取源地址...
wireshark过滤表达式
Project__的博客
04-01 428
wireshark过滤表达式
wireshark过滤表达式&wireshark捕获ftp协议分析
热门推荐
codes_first的博客
10-15 4万+
记录学习Wireshark的一些问题,主要是: 1.过滤表达式 2.本机搭建ftp站点 3.利用wireshark捕获ftp的协议交互过程并对此进行分析
Wireshark教程:显示过滤表达式
nuan444979的博客
09-22 5120
Wireshark显示过滤表达式
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容).docx
07-31
Wireshark 实用过滤表达式详解 Wireshark 是一个功能强大且广泛使用的网络协议分析器,用于捕获和显示网络中的数据包。为了更好地使用 Wireshark,了解它的过滤表达式是非常重要的,本文将详细介绍 Wireshark 中的...
wireshark过滤规则表达式
wangzhen_csdn的博客
08-02 2381
1.协议过滤表达式栏中直接填写协议名:比如TCP 只显示TCP协议报文 tcp udp arp http 等 2. IP 过滤: 在显示过滤表达式栏中填写:例如 ip.src == 192.168.1.102 显示源地址192.168.1.102的报文 ip.dst == 192.168.1.104 显示目的地址192.168.1.104 的报文 3. 端口过滤: tcp
wireshark过滤器的语法详解(有图有内容)
qq_70070181的博客
06-07 8366
现了黄色黄色,表示输入的过滤条件表达式的语法没有问题,能过滤,但结果可能会跟预期的结果不一样,只要在过滤条件表达式中,包含了操作符!根据在IP数据包中封装的上层协议类型编号进行过滤,上层协议类型,即传输层中的协议类型,有TC协议[6]、UDP协议[17],还有在网络层中的一个ICM协议[1]等。指定要过滤的是数据包的目标地址,比如:目的MAC地址、目的IP地址、目的端口号,凡是可以用src的地方,都可以用dst,只不过,抓的是方向相反的数据包。其中,回显请求报文的值为 8 回显 响应报文的值为0。
Wireshark显示过滤器常用关键字及过滤表达式
最新发布
geriletuma
08-15 4985
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式
wireshark过滤表达式实例介绍
Gary's Blog --- A C++ programmer
06-28 4217
wireshark过滤表达式实例介绍wireshark过滤表达式实例介绍~~wireshark,实例,表达wireshark,实例,表达----------------------------------------------------------------------------------------1wireshark基本的语法字符 /d0-9的数字
wireshark过滤规则和过滤表达式
qiujiwuhen00的博客
07-17 1013
wireshark过滤规则 (2010-07-09 17:12:03) 转载▼ 标签: 杂谈 分类:untangle   WireShark过滤语法   1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip
【协议分析】Wireshark 过滤表达式实例
weixin_30236595的博客
12-28 123
Wireshark 过滤表达式实例 1wireshark基本的语法 字符 \d 0-9的数字 \D \d的补集(以所以字符为全集,下同),即所有非数字的字符 \w 单词字符,指大小写字母、0-9的数字、下划线 \W \w的补集 \s 空白字符,包括换行符\n、回车符\r...
Wireshark 常用的抓包过滤表达式
Cloud-Future的博客
03-11 4859
这里的抓包过滤器是指下面的输入框,不是捕获过滤器。 1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都...
Wireshark常用过滤表达式
07-24
Wireshark是一款强大的网络协议分析工具,用于捕获并详细解析网络流量。为了方便用户针对特定数据包进行筛选,Wireshark提供了一系列过滤表达式。这些表达式允许用户基于多种条件来选择、显示或忽略捕获的数据包。下面是一些常用的Wireshark过滤表达式及其用途: ### 通用过滤 #### 匹配数据包编号(Packet Number) ``` tcp.port == <端口号> udp.port == <端口号> icmp.type == <ICMP 类型> ``` 这样的表达式可以用来过滤所有目标或源端口为指定值的数据包。 #### 匹配IP地址 ``` ip.addr == <IP 地址> dst.ip.addr == <目的 IP 地址> src.ip.addr == <源 IP 地址> ``` 这可以帮助定位到特定IP的通信情况。 #### 匹配TCP连接状态 ``` tcp.flags.syn && tcp.flags.ack ``` 这表示选择所有SYN+ACK数据包,通常用于追踪三次握手过程。 ### 协议层级过滤 #### HTTP过滤 ``` http.request.method == "GET" http.response.status_code >= 400 ``` 这些表达式可用于检查HTTP请求方法或响应的状态码。 #### DNS查询过滤 ``` dns.qry.name == "*.google.com" && dns.qry.type == "A" ``` 这将帮助查找对特定域名的所有DNS A记录查询。 ### 数据包内容过滤 #### 搜索特定字符串 ``` content("Hello World") ``` 此表达式用于搜索包含特定文本的内容字段。 #### 网络流过滤 ``` http.cookie.contains("session_id") ``` 对于HTTP流来说,可以搜索特定cookie是否存在。 ### 其他常见过滤表达式 - **IPv6**: `ip6.addr == <IPv6 地址>` - **UDP** 或 **TCP** 的任意端口: `tcp.port == any` 或 `udp.port == any` - **ICMPv6** 或 **ICMP** 请求类型: `icmp.type == <类型 ID>` 这些过滤表达式只是冰山一角,实际应用中可能会结合多个条件来进行更精细的选择。熟练运用Wireshark过滤功能可以使网络数据分析变得更加高效和有针对性。此外,Wireshark还支持正则表达式和其他高级过滤选项,进一步提升了其灵活性和强大性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值