wireshark抓包过虑规则

最新推荐文章于 2025-04-16 16:25:54 发布
最新推荐文章于 2025-04-16 16:25:54 发布
阅读量1w 收藏 12
点赞数
分类专栏: 命令操作 文章标签: wireshark 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhengyong15984285623/article/details/62045377
版权
本文介绍了Wireshark这一网络封包分析软件的基本使用方法,包括如何安装、配置过滤规则来精确捕获所需的网络封包数据。此外还通过实例演示了如何使用Wireshark进行TCP三次握手过程的分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

wireshark抓包过虑规则

简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料

安装

下载地址:https://www.wireshark.org/download.html

规则描述
规则说明备注
http.request.uri过滤出所有uri
http.request.method==”POST”过滤出所有post请求
http.request.uri==”/v2transapi”过滤指定uri过滤出/v2transapi
http.request.uri matches “/*api”过滤url中包含api结尾的uri
ip.src==106.39.162.57来源ip等于某个ip同ip.src eq 106.39.162.57
ip.dst==106.39.162.57目标ip等于某个ip同ip.dst eq 106.39.162.57
ip.addr==106.39.162.57同时显示来源和目标ip同ip.addr eq 192.168.1.107
tcp.port==443过滤端口过滤出端口为443
http过滤协议同tcp、udp、arp、http、ftp、ssl、smtp、dns、ip
eth.dst==A0:00:00:04:C5:84太以网头过滤过滤目标mac
抓包

访问http://fanyi.baidu.com/v2transapi结果如下:

http协议包

1)No1:请求客户端(10.57.2.232)向服务器(106.39.162.57)发出连接请求。此为TCP三次握手第一步,此时从图中可以看出,为SYN,seq:X (x=0)
2)No2:服务器(106.39.162.57)回应了请求客户端(10.57.2.232)的请求,并要求确认,此时为:SYN,ACK,此时seq:y(y为0),ACK:x+1(为1)。此为三次握手的第二步;
3)No3:请求客户端(10.57.2.232)回应了服务器(106.39.162.57)的确认,连接成功。为:ACK,此时seq:x+1(为1),ACK:y+1(为1)。此为三次握手的第三步;
4)No4:请求客户端(10.57.2.232)发出一个页面HTTP请求;
5)No5:服务器(106.39.162.57)确认;
6)No6:服务器(106.39.162.57)发送数据;

TCP 三次握手协议

这里写图片描述

详见百科:http://baike.baidu.com/item/%E4%B8%89%E6%AC%A1%E6%8F%A1%E6%89%8B?fr=aladdin

WireShark抓包过滤链接部分
码莎拉蒂
01-14 4372
1 问题 我们打开WireShark,开始抓包,然后浏览器输入http链接地址,那我们怎么快速在WireShark里面找到 2 解决办法 1)在WireShark里面输入http 2 ) Ctrl + F,然后选择字符串,然后在字符串的右边输入 我们要过滤的部分链接请求,按下查找就行 比如我在浏览器里面输入如下链接地址 http://kns.cnki.net/kns...
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark 抓包过滤规则
ochonglangzheo的专栏
03-13 1612
一、IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二、端口过滤: 比如:tcp.port eq 80 // 不管端口
网络安全——Wireshark 命令、捕获、过滤器大全(超详细)
wangluo12138的博客
04-16 1073
Wireshark 是一款功能强大的网络协议分析器,最早由 Gerald Combs 于 1998 年开发,经过多年发展,已成为网络诊断和分析的首选工具。它支持实时捕获数据包并提供详尽的解码信息,适用于多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
bigbangbangbang1的博客
11-27 1644
Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤过滤 HTTP 流量过滤 DNS 流量过滤 TCP 流量。
Wireshark应用
00's Blog
01-03 3070
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
wireshark学习随手记
Season@HangZhou 专栏
03-24 1185
一、基本语法。 a)        ip.src == 192.168.0.2 && ip.dst == 192.168.0.3。红色部分可以是&&、||、! 等(或相应的英文:and、or、not)。     二、针对协议的过滤   (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。                表达式为:http   (2)需要捕获多
0 Wireshark抓包常用过滤规则.docx
10-27
### Wireshark抓包常用过滤规则详解 #### 一、Wireshark简介及过滤规则的重要性 Wireshark是一款广泛使用的网络封包分析软件,能够实时捕捉网络封包并进行详尽的检查与分析。在复杂的网络环境中,通过精确地设置...
wireshark抓包工具的使用
m0_70618214的博客
08-21 3万+
WireShark网络封包分析软件 主要分为这几个界面:① Display Filter (显示过滤器):用于过滤。② Packet List Pane (封包列表):显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同代表抓取封包的协议不同。③ Packet Details Pane (封包详细信息),:显示封包中的字段。④ Dissector Pane (16进制数据)⑤ Miscellanous (地址栏,杂项)
wireshark抓包工具过滤规则及使用方法
胡迪_tester的博客
10-25 6344
Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.srceq192.168.1.107orip.dsteq192.168.1.107 或者 ip.addreq192.168.1.107//都能显示来源IP和目标IP Linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。 ip.src eq 10.175.168.182 截图示例: 提示: 在Filter编...
wireshark过滤规则
qq_40298645的博客
06-21 6587
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
Wireshark过滤如何设置详解,零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
09-13 4644
Wireshark是一款功能强大的网络分析工具,能够捕获和分析网络数据包。在使用Wireshark进行网络分析时,过滤功能显得尤为重要。通过设置过滤器,我们可以从大量的网络数据包中筛选出感兴趣的部分,从而提高分析效率。本文将详细介绍Wireshark过滤设置方法。
Wireshark傻瓜式安装,Wireshark使用过滤条件】
qq_41694461的博客
02-28 2359
特别说明: http中http.request表示请求头中的第一行(如GET index.jsp HTTP/1.1) http.response表示响应头中的第一行(如HTTP/1.1 200 OK),其他头部都用http.header_name形式。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&与、|| 或、!
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
wireshark过滤规则
flynetcn的专栏
01-28 1万+
  一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:ip.dst ==192.168.0.1   (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是1...
Wireshark 常用过滤
qq_26613259的博客
03-12 895
 ​Wireshark 常用过滤器大全,贴合工作实际,涵盖网络排查、安全分析、协议调试等高频需求,助你快速定位问题。
Wireshark教程:设置过滤
m0_37442062的博客
04-30 3729
本教程使用Windows感染流量示例,这些流量来自通过大规模分发方法(如恶意垃圾邮件(malspam))或Web流量分发的商品恶意软件。 在恶意软件(通常是Windows可执行文件)感染Windows主机之前,这些感染可以遵循许多不同的路径。 指标包括从网络流量中获取的与感染相关的信息。 这些指标通常称为危害指标(IOC)。 安全专业人员经常记录与Windows感染流量相关的指示器,例如URL,域名,IP地址,协议和端口。 正确使用Wireshark显示过滤器可
Wireshark (三) wireshark分析HTTP协议
qq_42980749的博客
02-22 6295
Wireshark 是一款强大的网络协议分析工具,它可以捕获网络中传输的数据包,并提供了丰富的功能来分析这些数据包。可以针对 HTTP 协议,Wireshark 能够深入理解客户端和服务器之间的通信过程,包括请求和响应的详细内容。
wireshark抓包过滤
最新发布
05-28
### Wireshark 抓包过滤器 使用方法与语法 Wireshark 是一种功能强大的网络协议分析工具,它允许用户通过捕获和分析数据包来深入了解网络通信。抓包过滤器是 Wireshark 中用于在捕获过程中筛选数据包的工具[^1]。以下将详细介绍其使用方法、语法以及示例。 #### 1. 抓包过滤器的基本概念 抓包过滤器(Capture Filter)是在数据包捕获之前应用的规则集合,它决定了哪些数据包会被实际捕获并存储到内存中。由于抓包过滤器直接影响捕获过程,因此它有助于减少不必要的数据包捕获,从而节省系统资源[^2]。 #### 2. 抓包过滤器的语法 抓包过滤器的语法基于 Berkeley Packet Filter (BPF) 的表达式语言。以下是其主要规则: - **逻辑运算符**:`and`, `or`, `not` 可以用来组合多个条件。 - **地址类型**:可以指定源地址 (`src`) 或目标地址 (`dst`)。 - **协议类型**:支持多种协议,如 `tcp`, `udp`, `icmp` 等。 - **端口号**:可以通过 `port` 指定特定端口或端口范围。 #### 3. 示例 以下是一些常用的抓包过滤器示例: ```bash # 捕获所有 TCP 数据包 tcp # 捕获来自特定 IP 地址的数据包 src host 192.168.1.100 # 捕获发送到特定 IP 地址的数据包 dst host 192.168.1.100 # 捕获特定端口上的数据包 port 80 # 捕获来自特定 IP 地址且目标端口为 443 的数据包 src host 192.168.1.100 and dst port 443 # 捕获非 ICMP 协议的数据包 not icmp ``` 以上示例展示了如何通过不同的条件组合来实现精确的数据包捕获[^1]。 #### 4. 抓包过滤器与显示过滤器的区别 抓包过滤器和显示过滤器虽然都用于筛选数据包,但它们的应用场景不同: - **抓包过滤器**:在捕获过程中筛选数据包,减少捕获的数据量。 - **显示过滤器**:在捕获完成后筛选数据包,不影响捕获过程[^2]。 ### 注意事项 在使用抓包过滤器时,需注意以下几点: - 抓包过滤器的语法较为严格,错误的表达式可能导致无法捕获任何数据包。 - 如果网络流量较大,建议优先使用抓包过滤器以减少内存占用。 ```python # 示例:使用 Python 调用 tshark 工具进行抓包过滤 import subprocess command = "tshark -i eth0 -f 'tcp and port 80'" process = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE) output, error = process.communicate() if error: print(f"Error: {error.decode('utf-8')}") else: print(f"Captured packets: {output.decode('utf-8')}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值