wireshark过滤器使用

最新推荐文章于 2025-11-05 15:38:42 发布
原创 最新推荐文章于 2025-11-05 15:38:42 发布 · 397 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark

本文详细介绍了网络数据过滤的关键技术,包括IP、端口、协议、MAC地址、包长度及HTTP模式的过滤方法,深入解析了Wireshark的语法字符及其在网络监控中的应用。
  • 过滤IP
功能描述表达式
IP目的地址ip.dst== 192.168.1.1
IP地址(包括源和目的)ip.addr== 192.168.1.1
IP源地址ip.src ==192.168.1.1
  • 过滤端口
功能描述表达式
TCP端口tcp.port==80
TCP目的端口tcp.dstport == 80
TCP源端口tcp.srcport == 80
UDP端口udp.port eq 15000
TCP 1-80之间的端口tcp.port >= 1 and tcp.port <= 80
  • 过滤协议

http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

  • 过滤MAC地址
功能描述表达式
源MAC地址eth.src==A0:00:00:04:C5:84
目的MAC地址eth.dst==A0:00:00:04:C5:84
MAC地址(包括源和目的)eth.addr==A0:00:00:04:C5:84
  • 过滤包长度
功能描述表达式
整个UDP数据包udp.length==20
TCP数据包中的IP数据包tcp.len>=20
整个IP数据包ip.len==20
整个数据包frame.len==20
  • HTTP模式过滤
功能描述表达式
请求方法为GEThttp.request.method==“GET”
请求方法为POSThttp.request.method==“POST”
指定URIhttp.request.uri==“/img/logo-edu.gif”
请求或相应中包含特定内容http contains “FLAG”

GET包

表达式
1http.request.method == “GET” && http contains “User-Agent: “
2http.request.method == “GET” && http contains “Host: “

POST包

表达式
1http.request.method == “POST” && http contains “Host: “
2http.request.method == “POST” && http contains “User-Agent: “

响应包

表达式
1http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
2http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
  • 太以网头过滤
功能描述表达式
过滤目标maceth.dst == A0:00:00:04:C5:84
过滤来源maceth.src eq A0:00:00:04:C5:84
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的eth.addr eq A0:00:00:04:C5:84
  • wireshark基本的语法字符
表达式描述
\d0-9的数字
\D\d的补集(以所以字符为全集,下同),即所有非数字的字符
\w单词字符,指大小写字母、0-9的数字、下划线
\W\w的补集
\s空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f
\S\s的补集
.除换行符\n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式”
.*匹配任意文本,不包括回车(\n)? 。 而,[0x00-0xff]* 匹配任意文本,包括\n
[…]匹配[]内所列出的所有字符
[^…]匹配非[]内所列出的字符
  • 定位字符: 所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
表达式描述
{n}匹配前面的字符n次
{n,}匹配前面的字符n次或多于n次
{n,m}匹配前面的字符n到m次
?匹配前面的字符0或1次
+匹配前面的字符1次或多于1次
*匹配前面的字符0次或式于0次

在这里插入图片描述

wireshark过滤器使用
天赐好车的博客
06-18 349
wireshark过滤器使用
WireShark过滤器
m0_49476241的博客
09-08 2146
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
wireshark过滤规则
猴子哥哥的博客
04-25 1085
1、wireshark常用过滤规则 2、wireshark语法
常用的9类Wireshark 常用过滤器详解,收藏!!!
最新发布
2401_85280106的博客
11-05 604
图片中列出的 Wireshark 常用过滤器的详细说明.Wireshark 过滤器tcp or udp显示所有 HTTP GET 请求包。显示所有 TLS 握手包。文章来自网上,侵权请联系博主:如果你想学习更多网安方面的知识工具,可以看看以下题外话!
Wireshark过滤
GY_1202的博客
06-10 8269
wireshark两种数据过滤方式:捕获过滤器显示过滤器
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪流详细解答 一篇文章OK
盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IPHTTP协议等等。Destination: 目标ip地址
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器支持字符串匹配,例如,要查看所有包含字符串 "GET" 的数据包,可以使用 "http.request.method == \"GET\"" 过滤器Wireshark 过滤器还可以与其他功能集成,如统计生成包列表着色,以提供更加...
wireshark过滤器
03-17
Wireshark过滤器使用技巧包括: - 使用通配符正则表达式进行模糊匹配。 - 使用`not`否定一个条件,例如 `not ip.src == 192.168.1.1` 将排除特定IP地址的数据包。 - 使用`and``or`组合多个条件,如 `(ip.src =...
Wireshark过滤器使用大全:掌握筛选数据包的艺术
[Wireshark过滤器使用大全:掌握筛选数据包的艺术](https://www.cisco.com/c/dam/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/217057-configure-access-point-in-sniffer-mode-o-15.png...
wireshark 过滤规则
博客
07-27 369
过滤端口 8050 ,且 ip 为 192.168.1.113 udp.port == 8050 &amp;&amp; ip.src == 192.168.1.113
Wireshark——过滤器设置
热门推荐
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤器
rongdeguoqian的专栏
12-29 6083
wireshark提供主要两种过滤器。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。 显示过滤器:根据指定的表达式用于在一个已捕获的数据包的集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。 一、捕获过滤器 1、选择Capture->Interface ,然后单击Options,打开Capture Options对话框。     2
【wrieshark】过滤器
青火
08-15 1308
test
Wireshark过滤规则
陪我养猪吧的博客
08-14 2698
查看dhcp包,并且只想看某台电脑的dhcp包。查看除了arp以外的其他包。查看dhcp或者arp包。
wireshark过滤器如何使用
06-01
Wireshark是一个流行的网络协议分析工具,它可以在网络上捕获数据包并对其进行分析。Wireshark过滤器是一种工具,可以让用户在捕获的数据包中过滤出特定的信息。 以下是使用Wireshark过滤器的步骤: 1. 打开Wireshark软件并开始捕获数据包。 2. 在过滤器栏中输入过滤条件。Wireshark有两种过滤语言:Wireshark过滤表达式BPF过滤器语言,用于不同的情况。例如,要过滤特定的IP地址,可以输入“ip.addr == 192.168.1.1”。 3. 点击“Apply”按钮应用过滤器。现在只会显示符合过滤条件的数据包。 4. 如果需要更改过滤条件,请在过滤器栏中输入新的条件并再次点击“Apply”按钮。 5. 如果需要保存过滤结果,请使用File > Export Packet Dissections > As Plain Text选项将数据包输出为文本格式。 使用Wireshark过滤器可以帮助用户快速找到自己需要的信息,方便网络管理故障排除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值