wireshark 抓包过滤器使用

最新推荐文章于 2024-12-19 14:35:40 发布
转载 最新推荐文章于 2024-12-19 14:35:40 发布 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/laoxiajiadeyun/p/10365073.html
文章标签:

#网络 #运维

本文详细介绍了Wireshark的抓包过滤器和显示过滤器的使用方法,包括BPF语法、过滤条件如IP、MAC地址、端口及协议等,并提供了多个实例帮助理解。

目录

整理自陈鑫杰老师的wireshark教程课

wireshark 抓包过滤器

过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件的包丢弃,只保留满足条件的包,而显示过滤器则是对已抓取的包做过滤,过滤出满足条件的包。

显示过滤器可以保留全部的报数据,方便后期做流量分析,而抓包过滤器保留的数据有限,后期分析有局限性。

一、抓包过滤器

wireshark抓包是基于其内部的libpcap/wincap库

打开软件时直接在filter栏输入过滤规则即可,如下以wireshark2.6举例

Capture --> Options

1549952345994

1549952300718

使用的是BFP语法(Berkeley Packet Filter),一共四个元素:

  • 类型(Type)
    • host、net、port
  • 方向(Dir)
    • src、dst
  • 协议(Proto)
    • ether、ip、tcp、udp、http、ftp
  • 逻辑运算符
    • &&
    • ||
    • !

示例:

抓取源地址为192.168.1.1,目的端口为80的流量

src host 192.168.1.1 && dst port 80

抓取192.168.1.1和192.168.1.2的流量

host 192.168.1.1 || host 192.168.1.2

不要抓取广播包

! broadcast
过滤mac地址:
ether host 00:88:ca:86:f8:0d
ether src host 00:88:ca:86:f8:0d
ether dst host 00:88:ca:86:f8:0d
过滤IP地址:
host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
过滤端口:
port 80
!port 80
dst port 80
src port 80
过滤协议:
arp
icmp

结合逻辑符号综合过滤

host 192.168.1.1 && port 8080

二、显示过滤器

使用显示过滤器需先用软件进行抓包,然后在软件filter栏输入过滤规则:

1549952508341

比较符:
  • == 等于
  • != 不等于

  • > 大于

  • < 小于
  • >= 大于等于

  • <= 小于等于

逻辑操作符:
  • and 两个条件同时满足
  • or 其中一个条件被满足
  • xor 有且仅有一个条件被满足
  • not 没有条件被满足
ip地址:
  • ip.addr ip地址
  • ip.src 源ip
  • ip.dst 目标ip
端口过滤:
  • tcp.port
  • tcp.srcport
  • tcp.dstport
  • tcp.flags.syn 过滤包含tcp的syn请求的包
  • tcp.flags.ack 过滤包含tcp的ack应答的包
协议过滤:

arp、ip、icmp、udp、tcp、bootp、dns等

示例:

过滤IP地址:

ip.addr == 192.168.1.1   过滤该地址的包
ip.src == 172.16.1.1  过滤源地址为该地址的包

过滤端口:

tcp.port == 80 过滤tcp中端口号为80的包
tcp.flags.syn == 1 过滤syn请求为1的包

结合逻辑符综合过滤:

ip.src == 192.168.1.1 and ip.dst == 172.16.1.1

转载于:https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html

Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 4459
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
热门推荐
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式)
weixin_37910058的博客
08-22 1924
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) 一、说明 1.1 背景说明 对于大多数刚开始接触wireshark使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。 一是界面一堆窗口,什么作用...
抓包工具wireshark的简单使用方法--抓包参数过滤
weixin_41472455的博客
10-15 1597
抓包过滤器 二层: 打开 捕获的选项 抓取指定的以太网流: ether host 04-D4-C4-E6-CA-3D (后面为48位mac地址) 抓取去往指定目的mac的以太网流 : ether dst host 04-D4-C4-E6-CA-3D 或者 ether dst 04-D4-C4-E6-CA-3D 抓取源目的 mac的 以太网: ether src host 04-D4-C4-E6-CA-3D 抓取以太网的广播流 : ether b...
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪流详细解答 一篇文章OK
盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。Destination: 目标ip地址。
Wireshark-数据包过滤和分析
神探
10-18 1万+
[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器,捕捉过滤器显示过滤器。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
Wireshark 抓包过滤器使用及TCP三次握手深层分析
崔同学的博客
07-21 4467
Wireshark 抓包过滤器使用及TCP三次握手深层分析 前言 笔者上一篇写过 Docker 的博客 logo 就是一条小鲨鱼,没想到这次想要更的内容,碰巧也是和鲨鱼有关,当然只有 logo 有关了,哈,看来和 shark 有不解之缘。 一、Wireshark介绍与安装 Wireshark 是非常流行、功能强大的网络数据包分析软件,并且开源免费。可在 Wireshark官网下载对应系统版本的软件,笔者本文使用 V3.2.5 Windows 64-bit。它用于软件开发、软件测试等工作中debug十分方
Wireshark抓包全集(85种协议、类别的抓包文件)含软件下载
01-25
在这个Wireshark抓包全集中,包含了85种不同协议和类别的抓包文件,旨在帮助用户深入理解各种网络协议的实际工作方式,以及在网络中可能遇到的各类数据包的结构。 要充分利用这个抓包全集,用户首先需要掌握...
精选资源
使用wireshark蓝牙抓包器教程(含文档与软件安装包).rar
10-15
总结一下,使用Wireshark进行BLE抓包分析主要涉及以下步骤: 1. 安装Wireshark和蓝牙支持库。 2. 设置蓝牙适配器为监听模式。 3. 使用Wireshark启动捕获,应用BLE ATT过滤器。 4. 连接BLE设备并与其交互,观察捕获的...
wireshark过滤器使用
yshuqian1的博客
07-06 1137
wireshar是一种常用的网络抓包工具,安全分析人员可以根据其抓获的流包进行流分析,进而分析出系统可能面临的流威胁,对进一步的安全防护具有重要作用。如下图。
Wireshark 过滤器使用
LLinslemon的博客
08-16 9322
Wireshark 使用手册
Wireshark——过滤器使用
huashuolin001的博客
09-23 2万+
使用wireshark提供的过滤功能,可方便查看、分析自己想要的数据。wireshark过滤器,分为捕获过滤器显示过滤器。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。 显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。 下面分别介绍两种过滤器使用。 一.捕获过滤器 捕获过滤...
wireshark过滤器使用方法
G. Zeng 的 专栏
03-29 898
摘自:http://blog.youkuaiyun.com/yhwxxx/article/details/5643095   过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 两种过滤器的目的是不同的。 捕捉过滤器是数据经
Wireshark使用教程(一)——过滤器使用
weixin_45728716的博客
02-17 1万+
Wireshark过滤器使用教程 过滤器使用——捕获过滤器 wireshark是一款非常强大的网络封包分析软件,是一名网络工程师必备的软件。 语法说明 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将...
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark抓包过滤
mayue_web的博客
05-07 1万+
简介 Wireshark是windows下的抓包工具。 本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。 Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器 使用wireshark时,将会得到大的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大的...
Wireshark显示过滤器设置
xiaouncle的博客
12-10 6841
Wireshark显示过滤器的语法跟Wireshark抓包过滤器的语法是不一样的,不过我们没必要去死记硬背这些语法,毕竟Wireshark只是一个软件而已,平常用得多了语法自然也就熟悉了,大不了查一下帮助文档。
Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 4231
万字长文,你能找到的最好Wireshark过滤器教程
抓包工具】实战:WireShark 捕获过滤器的超全使用教程
顾三殇 —— 博客空间(软件测试)
03-29 5万+
WireShark 捕获过滤器的超全使用教程
wireshark抓包过滤器
最新发布
05-28
### Wireshark 抓包过滤器 使用方法与语法 Wireshark 是一种功能强大的网络协议分析工具,它允许用户通过捕获和分析数据包来深入了解网络通信。抓包过滤器Wireshark 中用于在捕获过程中筛选数据包的工具[^1]。以下将详细介绍其使用方法、语法以及示例。 #### 1. 抓包过滤器的基本概念 抓包过滤器(Capture Filter)是在数据包捕获之前应用的规则集合,它决定了哪些数据包会被实际捕获并存储到内存中。由于抓包过滤器直接影响捕获过程,因此它有助于减少不必要的数据包捕获,从而节省系统资源[^2]。 #### 2. 抓包过滤器的语法 抓包过滤器的语法基于 Berkeley Packet Filter (BPF) 的表达式语言。以下是其主要规则: - **逻辑运算符**:`and`, `or`, `not` 可以用来组合多个条件。 - **地址类型**:可以指定源地址 (`src`) 或目标地址 (`dst`)。 - **协议类型**:支持多种协议,如 `tcp`, `udp`, `icmp` 等。 - **端口号**:可以通过 `port` 指定特定端口或端口范围。 #### 3. 示例 以下是一些常用的抓包过滤器示例: ```bash # 捕获所有 TCP 数据包 tcp # 捕获来自特定 IP 地址的数据包 src host 192.168.1.100 # 捕获发送到特定 IP 地址的数据包 dst host 192.168.1.100 # 捕获特定端口上的数据包 port 80 # 捕获来自特定 IP 地址且目标端口为 443 的数据包 src host 192.168.1.100 and dst port 443 # 捕获非 ICMP 协议的数据包 not icmp ``` 以上示例展示了如何通过不同的条件组合来实现精确的数据包捕获[^1]。 #### 4. 抓包过滤器显示过滤器的区别 抓包过滤器显示过滤器虽然都用于筛选数据包,但它们的应用场景不同: - **抓包过滤器**:在捕获过程中筛选数据包,减少捕获的数据。 - **显示过滤器**:在捕获完成后筛选数据包,不影响捕获过程[^2]。 ### 注意事项 在使用抓包过滤器时,需注意以下几点: - 抓包过滤器的语法较为严格,错误的表达式可能导致无法捕获任何数据包。 - 如果网络较大,建议优先使用抓包过滤器减少内存占用。 ```python # 示例:使用 Python 调用 tshark 工具进行抓包过滤 import subprocess command = "tshark -i eth0 -f 'tcp and port 80'" process = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE) output, error = process.communicate() if error: print(f"Error: {error.decode('utf-8')}") else: print(f"Captured packets: {output.decode('utf-8')}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值