本文详细介绍了Wireshark的显示过滤器规则,包括构造表达式的方法、各种比较操作符、切片操作符、成员操作符的使用,以及通过实例展示了如何过滤SMTP、ICMP、SMB、Sasser蠕虫等通信。同时,强调了正确使用逻辑运算符和避免常见错误的重要性。
DisplayFilters 显示过滤器规则 - 目录
参考资料:
① https://wiki.wireshark.org/DisplayFilters
② https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html
Wireshark 使用显示过滤规则来过滤已捕获的数据包,及按 规则显示特定颜色。
你可以在 显示过滤参考中找到主要的显示过滤协议字段列表。
如果你需要针对特定协议进行显示过滤,请参阅 协议参考。
显示过滤规则 ≠ 捕获过滤规则
别把捕获过滤规则(如 tcp port 80)和显示过滤规则(如 tcp.port == 80)搞混了。
参阅捕获过滤规则说明。
构造过滤规则表达式
Wireshark 提供了一种显示过滤器语言,使你能够精确地控制显示哪些数据包。它们可以用来检查协议或字段是否存在、字段的值,甚至比较两个字段。这些比较可以与逻辑运算符(如“and”和“or”)和括号组合成复杂的表达式。
以下部分将更详细地介绍显示过滤器功能。
示例
仅显示 SMTP(端口25)和 ICMP 通信:
tcp.port eq 25 or icmp
仅显示局域网 (192.168.x.x) 中工作站与服务器之间的通信 —— 无因特网连接:
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
TCP 缓冲区满——Source停止向Destination发送数据:
tcp.window_size == 0 && tcp.flags.reset != 1
Windows 过滤——在监控Windows客户端时过滤干扰,DC exchanges:
smb || nbns || dcerpc || nbss || dns
Sasser 蠕虫
ls_ads.opnum==0x09
匹配 UDP payload 开头处(任意)包含3字节序列0x81、0x60、0x03的数据包,跳过8字节UDP报头。请注意,字节序列的隐式值仅采用十六进制。(对于匹配自定义的包协议很有用)
udp[8:3]==81:60:03
“切片”特性也可以用
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
