wireshark中filter属性设置 .

最新推荐文章于 2025-04-27 18:05:49 发布
转载 最新推荐文章于 2025-04-27 18:05:49 发布 · 1k 阅读 · 0

本文介绍了Wireshark这一开源网络协议分析软件的功能与使用技巧,对比了它与Iris等同类软件的区别,并通过实例展示了如何利用Wireshark的过滤器功能来提高网络开发效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如果你是一位网络应用开发者,你在开发过程中肯定会使用到网络协议分析器(network protocol analyzer), 我们也可以称之为“嗅探器”。eEye 公司有一款很不错的网络协议分析器产品 “Iris”, 我一直使用它的 4.07 版本,由于其功能完备,一直没有太多的关注其他同类软件,但此版本不能工作在 Windows Vista 上,也不能对无线网络适配器进行分析,而我恰好要在 Vista 上做很多开发工作,又经常使用无线网络连接的笔记本电脑,Iris 4.07 无法满足我的工作需求了。

幸运的是,Wireshark(线鲨)一款基于 winpcap/tcpdump 的开源网络协议分析软件对vista和无线网络的兼容都很好。他的前身就是Ethereal。他具备了和 Iris 同样强大的 Decode 能力,甚至线性截包的能力超过 iris。要用好分析器很重要的一点就是设置好 Filter(过滤器),在这一点上 Wireshark 的过滤表达式更显强大。

我们来看个几个简单的过滤器例子:

ip.dst==211.244.254.1” (所有目标地址是211.244.254.1的ip包)

tcp.port==80″ (所有tcp端口是80的包)

你可以把上述表达式用 and 连接起来

“(ip.dst==211.244.254.1) and (tcp.port==80)”

或者再稍加变换

“(ip.dst==211.244.254.1) and !(tcp.port==80)” (所有目的ip是211.244.254.1 80 端口)

使用表达式设置过滤器比之在界面上选择/填空更加快捷灵活,如果你不熟悉这些表达式,Wireshark 也提供了设置界面,并且最终生成表达式,这样也方便了使用者学习。

Wireshark 还提供了更高级的表达式特性,请看如下表达式

(tcp.port==80) and (ip.dst==211.244.254.1) and (http[5:2]==7075)

对象 http 就是 wireshark 解码以后的 http 数据部分 http[5:2] 就是指从 下标 5 开始的两个字节,请思考一下这样的http 请求

GET /pu*****

怎么样,如果你在浏览器中访问 http://www.google.com/pu 或者 http://www.google.com/put 或者 http://www.google.com/pub 都会被记录下来,匹配 *****pu***… 了

这样我们就可以方便的将我们需要检测的某个特别的网络指令过滤出来。

比如我在帮某硬件编写上位机程序的时候,指令总是以固定格式发送的,很容易我们就能过滤掉烦人的无用的信息,大大的提升了工作效率。

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
wiresharkfilter属性设置
cp62的专栏
12-25 7724
如果你是一位网络应用开发者,你在开发过程中肯定会使用到网络协议分析器(network protocol analyzer), 我们也可以称之为“嗅探器”。eEye 公司有一款很不错的网络协议分析器产品 “Iris”, 我一直使用它的 4.07 版本,由于其功能完备,一直没有太多的关注其他同类软件,但此版本不能工作在 Windows Vista 上,也不能对无线网络适配器进行分析,而我恰好要在
WireShark 过滤语法
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
11-26 906
<br /><br />引用hcorecore 的 WireShark 过滤语法<br /><br />/* WireShark 过滤语法 */<br /><br />1.<br />过滤IP,如来源IP或者目标IP等于某个IP<br />例子:<br />ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107<br />或者<br />ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP<br /><br />2.<br />过滤
Wireshark的使用细节,包括逻辑操作符、过滤器语法、快捷键以及捕获模式等,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
04-27 589
别跟我说你还在用Wireshark“看热闹”,抓包抓了半天,结果只看到了满屏的“不明觉厉”。这篇,咱不讲那些“人手一份”的基础操作,直接上干货,聊聊那些让你从“入门”到“入魔”的关键细节!用它们构建复杂的过滤规则,就像编写程序一样,让Wireshark成为你的专属“流量分析引擎”。只有掌握了协议的“语言”,才能听懂网络的“心声”。别把这些操作符当成“死的”,灵活运用,组合搭配,才能发挥它们的最大价值。捕获过滤器的语法比较“古老”,但功能强大。一个是“事前过滤”,一个是“事后筛选”,用途不同,语法也不同。
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark 基础 | 捕获过滤篇
7ACE的博客
10-13 6887
Wireshark 基础系列 | 捕获过滤篇
Wireshark过滤器语法设置
dgm4897的博客
09-08 277
Wireshark过滤器语法设置 1. 抓包过滤器 BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用) 1.1 语法说明 类型Type: host、net、port 方向Dir: src、dst 协议Proto: ethe...
使用wireshark蓝牙抓包器教程(含文档与软件安装包).rar
10-15
为了只显示BLE的ATT流量,你可以在“Filter”栏中输入`ble.att`。这将限制捕获的数据包只包含ATT层的通信,使分析更加专注。 在Wireshark运行时,连接你的BLE设备并与之交互。此时,Wireshark应该开始捕获到BLE设备...
wireshark汉化界面
05-07
* 文件属性(File Set):查看和设置当前数据文件的属性。 * 文件输出(Export):将数据文件输出为其他格式,例如CSV、TXT等。 * 打印输出(Print…):将数据文件打印到纸质文件或电子文件中。 * 退出(Quit):...
wireshark
u014220762的博客
08-15 432
抓包工具
wireshark常用的过滤命令
weixin_34194317的博客
09-26 1314
  我们使用wireshark抓包,却不知道如何分析这些包,也无法从海量的包中提取自己需要的数据,下面简单介绍下wireshark的过滤规则。 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;   ...
Wireshark软件使用教程(下部)过滤器设置
yangzhao0001的博客
08-24 1034
正如您在Wireshark教程第一部分看到的一样,安装、运行Wireshark并开始分析网络是非常简单的。 使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。 过犹不及。 这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 - 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需
网络分析器Wireshark过滤器设置
new9232的博客
01-16 2万+
1、简介 Wireshark是目前全球使用最广泛的开源抓包软件。可以对网络进行故障定位,可以对网络黑客攻击进行快速定位,可以分析底层通信机制等。 2Wireshark安装 下载地址:Wireshark · Go Deep.https://www.wireshark.org/ 3、界面介绍 如果打开发现没有接口,是因为wireshark自带的Npcap不支持win10,需要下载Win10Pcap。下载地址:Win10Pcap Download - WinPcap for Win...
wireshark 过滤条件设置
qq_27443279的博客
09-30 6981
 1. 过滤源ip、目的ip。 在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;  2. 端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==
wireshark 过滤器设置
哈哈一笑
03-04 5376
wireshark过滤器分为两种:显示过滤器,捕获过滤器 捕获过滤器 用于确定什么样的信息记录会显示在捕获结果中,需要在开始捕获前设置。界面如下 捕获过滤器语法 <Protocol> <Direction> <Host(s)> <Value> <Logical Operations> <Other expression> P...
Wireshark教程:设置过滤
m0_37442062的博客
04-30 3749
本教程使用Windows感染流量示例,这些流量来自通过大规模分发方法(如恶意垃圾邮件(malspam))或Web流量分发的商品恶意软件。 在恶意软件(通常是Windows可执行文件)感染Windows主机之前,这些感染可以遵循许多不同的路径。 指标包括从网络流量中获取的与感染相关的信息。 这些指标通常称为危害指标(IOC)。 安全专业人员经常记录与Windows感染流量相关的指示器,例如URL,域名,IP地址,协议和端口。 正确使用Wireshark显示过滤器可
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
Wireshark 基础 | 显示过滤篇
7ACE的博客
04-05 8493
Wireshark 基础 | 显示过滤篇
wireshark 中RSL
04-09
### 使用 Wireshark 进行 RSL 协议分析 Wireshark 是一款功能强大的网络协议分析工具,支持多种协议的捕获和解析。对于无线通信领域中的 **Radio Subsystem Link (RSL)** 协议,可以通过其内置的支持来实现数据包捕获与过滤。 #### 1. 数据包捕获设置 为了捕获 RSL 流量,需确保设备已配置为能够监听到相关的流量源。通常情况下,这可能涉及 GSM 或其他蜂窝网络接口。如果硬件支持这些类型的流量,则可以在启动捕获前指定相应的接口[^1]。 ```bash sudo wireshark & ``` 或者通过命令行方式运行 tshark 工具: ```bash tshark -i any -f "port 777" # 假设端口 777 被用于传输 RSL 数据流 ``` 上述 `-i` 参数指定了要监控的网卡名称或编号;而 `-f` 则定义了一个简单的 BPF(Berkeley Packet Filter)表达式以初步筛选目标流量。 #### 2. 显示过滤器应用 一旦完成原始帧抓取之后,可以利用显示过滤器进一步细化查看范围至仅限于感兴趣的字段上。例如针对 RSL 特定消息类型可尝试如下语法结构: - `rsl.message_type == 0x??`: 替换问号处为你所关注的消息码值。 具体可用选项可通过查阅官方文档获取更多信息: ```plaintext https://www.wireshark.org/docs/dfref/r/rsl.html ``` 此链接提供了关于 rsl.* 属性列表及其含义说明,有助于构建精确匹配条件下的查询语句。 #### 3. 高级特性运用 除了基础的数据捕捉外,Wireshark还提供了一些高级功能帮助深入理解复杂交互过程: - 创建自定义颜色标记规则以便快速识别特定事件; - 导出选定会话统计信息供后续离线处理. 以上提到的功能均建立在其丰富的显示滤镜机制之上,因此熟练掌握如何有效组合不同参数至关重要. ```python import pyshark cap = pyshark.LiveCapture(interface='eth0', bpf_filter='tcp port 80') for pkt in cap.sniff_continuously(): try: if hasattr(pkt['RSL'], 'message_type'): print(f'RSL Message Type: {pkt.rsl.message_type}') except AttributeError: pass ``` 上面展示了一段 Python 脚本片段演示怎样借助 PyShark 库自动化提取并打印每条符合条件的 RSL 报文中包含的信息。 --- 问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值