0#1 wireshark过滤器

0x00 简介

过滤器提升数据包分析的灵活性，让用户在抓包时可以看到他想要观察的信息
过滤器分为2种：
抓包过滤器和显示过滤器
注:这一章主要的内容选项在:
菜单栏->capture->options
快捷键:ctrl+k

---

0x01 抓包选项

input:抓包筛选

方框内

interface:可抓取的接口
Traffic:通信量，类似示波器
promiscuous:是否打开杂合模式

可勾选项

是否打开杂合模式
如果勾选，一次性激活所有接口的杂合模式

过滤器选择

可以选择已有的过滤器，也可以自己设置
设置时一定要按照伯克利数据包过滤(BPF)语法来定义过滤

capture/option/input

output 导出文件

capture to a permanent file:文件保存路径
output format:文件保存格式
create a new file:自动创建文件的条件
ring buffer:最多创建文件数量

capture/option/output

options 显示选项

Display Options 其他选项

1. update list
   数据包实时更新列表
2. automatically scroll
   在数据包实时更新的时候，是否保持数据条自动上滚，使显示内容不变
3. show extra capture
   显示抓包对话框

Name Resolution 地址解析

这个特性可以将二层、三层个四层地址解析未对应的名称

1. MAC:解析MAC地址
2. network:解析network地址
3. transport:解析transport地址

stop capture 停止抓包选项

设定满足以下条件停止抓取新的数据包

1. 抓取数据包数量
2. 创建文件数量
3. 数据的字节数量
4. 抓取一段时间后自动停止

capture/option/options

---

0x02 抓包过滤器语法(BPF)

BPF分为两部分：标识符和修饰符

标志符

我们在数据包中寻找的参数。
比如：
IP地址

修饰符

类型

1. host:主机
2. port:端口
3. net:网络链接

方向

src:来自特定主机
dst:去往特定主机

协议

http:抓取http协议
tcp:抓取tcp协议

运算符

and 并且(串联)
or 或者(并联)
not 否(取反)

举例

1. 过滤器:
   host 192.168.1.1
   描述:
   所有与主机 192.168.1.1相关的流量
2. 过滤器:
   port 8080
   描述:
   所有与8080端口相关的流量
3. 过滤器:
   src host 192.168.1.1
   描述:
   所有从主机192.168.1.1始发的流量
4. 过滤器:
   dsc host 192.168.1.1
   描述:
   所有去方主机192.168.1.1的流量
5. 过滤器:
   not port 80
   描述:
   所有与80端口无关的流量
6. 过滤器:
   tcp
   描述:
   所有tcp流量
7. 过滤器:
   src 192.168.1.1 and tcp port 21
   描述:
   所有从192.168.1.1并且与tcp端口21相关的流量
8. 过滤器:
   host www.google.com
   描述:
   所有去往google IP地址或者来自Google IP地址的流量
   9.过滤器:
   ether host 07:34:aa:b6:78:89
   描述:
   所有与这个制定MAC地址相关的流量
   BPF.png

---

0x03 使用协议头部参数的抓包过滤器

语法

语法：
proto[offset:size(optional)]=value
解释：
proto:抓取流量的协议
offset:对应数值在数据包头部的偏移量
size:抓取的长度
value:想要寻找的数据

举例

举例:
icmp[0:1]=0
解释:
只抓取icmp的偏移量为0,长度为1,内容为0的数据包。

过滤器

1. 过滤器:
   icmp[0]=0
   解释:
   ICMP请求数据包
2. 过滤器:
   icmp[0:1]=8
   解释:
   ICMP相应数据包
3. 过滤器:
   icmp[0:1]=3
   解释:
   ICMP目标主机不可达数据包
4. 过滤器:
   tcp[13]=2
   解释:
   TCP SYN标记数据包
5. 过滤器
   tcp[13]=18
   解释:
   TCP SYN/ACK标记数据包
6. 过滤器
   tcp[13]=32
   解释:
   抓取TCP URG标记设置数据包

---

0x04 显示过滤器

显示过滤器可以用于数据包列表面板上面的 Filter 对话框
显示过滤器，是把不需要的数据包进行隐藏，而不是删除。

5大部分

1. Field Name 协议选择

内部含有所有能抓取的协议，
和各种协议的内置参数，比如ip协议的ip.addr

2. Relation 关系式

所有能用的关系式，提供方便的筛选

3. Value 值

指定查找的值

4. predefined values

某些特定的协议参数的值是固定的，是选择项。

5. Range

范围取值

运算符

同样not，and，or 三个逻辑运算符仍然适用。

显示过滤器

---

0x05 保存过滤器

wireshark 可以保存设置，为以后使用过滤器提供方便。

1. 步骤：
   Analyze->Display filters
   弹出对话框
   ‘+’ 进行添加
   ‘-’ 进行删除
2. 规则：
   背景颜色为红色：表达式输入错误
   背景颜色为黄色：表达式的结果可能与预期执行结果不符合
   背景颜色为绿色：表达式输入正确
3. 应用新添加的过滤器
   在过滤器的小旌旗处就会显示刚刚自己添加的过滤器

---

0x06 搜索数据包

调用方式

1. edit->find packets
2. Ctrl+F

选项：

1. Display filter(对显示列表进行查找)
2. Hex value(对16进制进行查找)
3. String(对文本信息进行查找)
4. regular(使用正则表达式查找)

Find对话框

---

0x07 给流量标记颜色

1. 调用方式
   菜单栏:view->coloring rules
2. 添加和删除
   ‘+’添加新的规则
   ‘-’删除规则

3. 内容
   name:别名
   string:表达式
   foreground color:前景色
   background color:背景色

   
   coloring.png

---

0x08 创建配置文件

wireshark的强大之处，可以导出和导入配置文件，支持跨平台使用。

1. 配置文件的组成
   抓包过滤筛选器
   显示过滤筛选器
   时间优先顺序
   列优先顺序
   协议优先顺序
   颜色配置文件

2. 创建过程
   状态栏->profile->new

   
   创建配置文件

---