wireshake 总结

最新推荐文章于 2024-10-25 15:27:55 发布

timeriver_wang

最新推荐文章于 2024-10-25 15:27:55 发布

阅读量427

点赞数

分类专栏：工具文章标签：网络运维

本文链接：https://blog.youkuaiyun.com/wnjok/article/details/84353515

版权

工具专栏收录该内容

20 篇文章

订阅专栏

wireshark过滤基本命令

一、IP过滤：

ip.addr==192.168.22.143

ip.src==192.168.22.143

ip.dst==192.168.22.124

二、端口过滤：

tcp.port==514 or udp.port == 514

tcp.port >= 1 and tcp.port <= 80

三、协议过滤：

tcp udp arp icmp http smtp ftp dns msnms ip ssl 等等

排除ssl: !ssl 或者 not ssl

四、包长度过滤：

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET” http contains “HTTP/1.”

// GET包

http.request.method == “GET” && http contains “Host: ” http.request.method == “GET” && http contains “User-Agent: ”

// POST包

http.request.method == “POST” && http contains “Host: ” http.request.method == “POST” && http contains “User-Agent: ”

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ” http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ” 一定包含如下 Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

timeriver_wang

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

同为抓包工具，Wireshark与Fiddler应该怎么选择？

网络技术联盟站

03-14

152

在众多抓包工具中，Wireshark 和 Fiddler 是最常被提及的“双雄”。一个擅长全面分析网络流量，一个专注于 Web 应用的 HTTP/HTTPS 调试。它们各有千秋，但也各有局限。那么，究竟该如何选择？别急，我们先来认识一下这两位“选手”的“真面目”。😉。

tcpdump和wireshark抓包分析总结

陌上花开缓缓归以的博客

10-21

1143

1，抓包 2，数据解析

参与评论您还未登录，请先登录后发表或查看评论

wireshark筛选dhcp包_【转】Wireshark过滤规则筛选数据包

weixin_39815329的博客

12-19

877

http://blog.sina.com.cn/s/blog_60a65db5010135ib.html一、IP过滤：包括来源IP或者目标IP等于某个IP比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IPip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0....

wireshark筛选条件整理

qq_44637753的博客

10-25

1110

src 源地址 dst 目的地址。

wireshark常用筛选命令

victorwjw的博客

01-12

4720

wireshark常用筛选命令

Wireshark基础使用和表达式语法（筛选器）

mmxhappy的专栏

01-22

1068

这里只是简单的使用wireshark，关于其高级功能可以自行百度，我的需求就是查看客户端是否向我本地的服务器发送了请求，由于本地服务器没用收到请求，此时再抓包进行判断一下，如果抓包也没有的话，那就说明客户端没用发送请求（这样就说明我这边没用问题，成功把锅甩了出去），所以只分析http tcp层的协议。的世界里有2种过滤器，分别是捕获过滤器和显示过滤器，采用恰当的过滤器，不但能提高数据分析的灵活性，而且能让分析者更快看到自己想要的分析对象。一条基本的显示过滤表达式由过滤项、过滤关系、过滤值三项组成。

Wireshark抓包过滤

热门推荐

mayue_web的博客

05-07

1万+

简介 Wireshark是windows下的抓包工具。本篇主要记录捕获表达式和过滤表达式，方便后面使用和参考。 Wireshark工具介绍可参考：https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的...

计算机网络实验总结（1-8）

m0_73516684的博客

04-15

512

2、学习Linux中虚拟以太网设备Tap和veth pair的基本操作；1.创建两个namework namespace并分别命名ns1和ns2。1、学习Linux中network namespace的基本操作；3.将tap1迁移到ns1中 tap2迁移到ns2中。2.利用ping命令测试ns1和ns2的连通性。3、学习Linux中在NS内执行命令的方法；4、学习Linux中编写脚本程序的基本方法；5.将新增的两个网络接口的状态设置为up。5、学习Wireshark软件的用法。

使用select编写一个tcp客户端和服务端要求: 1. 客户端可以通过cmd窗口输入字符串，并将收到的字符串发送给服务器。 2. 服务端在收到客户端发来的数据包之后，打印出来并将数据发送会客户端。 3. 服务端可进行多连接 4. 抓取整个过程的wireshake包(连接/数据传输/关闭)

03-14

总结步骤：先写服务器端代码框架，处理多连接；再写客户端代码，处理双向通信；然后提供编译运行方法；最后指导Wireshark抓包和分析，引用相关资料说明TCP标志和抓包方法。</think>### 使用`select`实现TCP客户端与...

中间件系列九 RabbmtiMQ 通过wireshark抓包学习AMQP协议

不积跬步无以至千里; 不积小流无以成江海

02-06

4315

概述本文先在普通场景下生产者发送一条消息，消费者接受此条消息，然后通过wireshark进行抓包，对抓的包进行详细的分析。背景本文测试的环境RabbitMQ的IP地址是10.240.89.147 生产者和消费者的IP地址都是10.240.80.99测试的代码本文的代码和之前博客的代码相似，这里略相关的代码内容如下：生产者代码：消费者代码：测试代码：发送端先发送1

wireshark 过滤规则

07-13

如何通过wireshark 设置过滤规则

wireshark | 过滤筛选总结

ttxiaoxiaobai的博客

08-22

927

场景：在linux环境下使用tcpdump -w 然后把爬的数据写入指定的XXX.pcap。wireshark 是一款开源抓包工具。比如与服务器的请求响应、tcp三次握手/四次挥手。然后在wireshark中导入该文件XXX.pcap。使用下面的过滤方式进行过滤分析数据就可以了。

Wireshark-数据包过滤和分析

神探

10-18

1万+

[ 使用版本：Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器，捕捉过滤器和显示过滤器。捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

Wireshark过滤

GY_1202的博客

06-10

7881

wireshark两种数据过滤方式：捕获过滤器、显示过滤器。

Wireshark通过数据内容过滤数据帧

AntigravityC的博客

05-30

642

通过tcp端口（包括src和dst）和数据位0的内容过滤，内容是从Transmission Control Protocol 开始算的双位过滤：第10位开始的双字节。

wireshark过滤条件

一起coding，一起嗨。

08-15

1835

你可以在Wireshark的过滤器界面中输入这些过滤条件并实时查看过滤后的结果。此外，Wireshark还提供了一些高级过滤条件，如按照数据包长度、数据包标记等进行过滤。你可以参考Wireshark的文档或官方网站获取更多详细的过滤条件和使用方法。Wireshark支持各种过滤条件，可以根据协议、IP地址、端口和其他特定的网络参数进行过滤。当你使用Wireshark进行网络数据包分析时，可以使用过滤条件来筛选出你感兴趣的数据包进行观察和分析。

Wireshark

weixin_54347738的博客

09-10

4428

①ip.src==源IP地址ip.dst==目的IP地址②选中一个源/目的IP是筛选条件的数据包，找到下的Source字段。右击字段，再选择作为过滤器应用–-> 最后点击选中，就可筛选出该源/目的IP的所有包了。

WireShark 常见筛选器

sun island的博客

10-29

642

过滤器描述 ip.host == 192.168.1.105 所有与192.168.1.105有关的流量 ip.addr == 192.168.1.105 所有与192.168.1.105有关的流量 ip.dst == 192.168.1.105 所有去往192.168.1.105的流量 ip.src == 192.168.1.105 所有从192.168.1.105发出的流量 tcp.port == 80 tcp协议端口为80 not tcp.port == 80 非...

Wireshark 抓包过滤命令大全，不会抓包的网工不是好网工！

网络技术联盟站

07-10

3060

你好，这里是网络技术联盟站，我是瑞哥。Wireshark 是一款开源软件，最早由 Gerald Combs 在 1998 年创建，原名 Ethereal。2006 年，由于商标问题，Ethereal 更名为 Wireshark。作为一个网络协议分析器，Wireshark 能够捕获网络接口上的数据包，并提供详细的解码和分析功能。Wireshark 支持多种操作系统，包括 Windows、macOS 和 Linux。

wireshake分析http

最新发布

03-22

### 使用 Wireshark 捕获和分析 HTTP 数据包 #### 安装与启动为了使用 Wireshark 进行数据包捕获，首先需要确保已正确安装该软件。如果尚未安装，可以根据官方文档或教程完成安装过程[^3]。启动 Wireshark 可以通过命令 `sudo wireshark-gtk` 实现，在图形化界面上选择合适的网络接口来开始捕获数据包[^2]。对于 HTTP 协议的捕获，默认情况下大多数标准网络接口都可以满足需求。 --- #### 配置过滤器 HTTP 流量通常基于 TCP 协议运行，并默认使用端口 80（未加密）或 443（HTTPS 加密）。因此可以通过设置显示过滤器来专注于这些特定类型的流量： - 输入过滤条件： ```plaintext http || tcp.port == 80 ``` 此过滤器会筛选出所有涉及 HTTP 请求/响应的数据包及其关联的底层 TCP 报文[^4]。另外还可以利用更高级别的表达式进一步缩小范围，比如只查看 GET 或 POST 方法请求： ```plaintext http.request.method == "GET" ``` 或者针对某个具体的服务器 IP 地址限定抓取目标： ```plaintext ip.addr == 192.168.x.x && http ``` --- #### 开始捕获并保存文件一旦配置好所需参数后点击“Start Capturing Packets”，即刻便能实时监控经过选定链路上传输的所有符合条件的消息体。当收集到足够的样本数量时停止记录并将结果导出成 .pcap 格式的永久存储副本以便日后查阅研究之用[^1]。 --- #### 分析捕获的数据包打开之前生成好的 pcap 文件加载至Wireshark主窗口内展示出来。此时每一条目代表单独的一次交互动作；双击任意感兴趣的条目会展开详细视图呈现更多技术细节诸如源目的MAC/IP/TCP序列号等等字段信息。特别值得注意的是，在处理 HTTPS (SSL/TLS encrypted traffic) 类型连接的时候由于存在加解密机制所以无法像明文那样轻易读取出实际载荷内容除非掌握私钥材料配合额外插件支持才行。以下是 Python 中 pyshark 对应的操作示范用于自动化批量解析工作流程的一部分片段作为补充参考资料： ```python import pyshark # 初始化离线模式下的捕获对象 cap = pyshark.FileCapture('example.pcap') for packet in cap: try: if 'HTTP' in packet and hasattr(packet.http, 'request_full_uri'): print(f"Request URI: {packet.http.request_full_uri}") except AttributeError as e: pass # Handle missing attributes gracefully cap.close() ``` --- ###