美文网首页
Wireshark 过滤规则

Wireshark 过滤规则

作者: zzqsmile | 来源:发表于2017-11-19 18:21 被阅读0次
1、过滤协议,直接写协议名称
    例子:
    tcp            #TCP(Transmission Control Protocol 传输控制协议)
    udp            #UDP(User Datagram Protocol 用户数据报协议)
    arp            #ARP(Address Resolution Protocol 地址解析协议)
    icmp           #ICMP(Internet Control Message Protocol Internet Internet 控制报文协议)
    http           #HTTP(HyperText Transfer Protocol 超文本传输协议)
    smtp           #SMTP(Simple Mail Transfer Protocol 简单邮件传输协议)
    ftp            #FTP(File Transfer Protocol 文件传输协议)
    dns            #DNS(Domain Name System 域名系统)
    ip             #IP(Internet Protocol IP协议)
    ssl            #SSL(Secure Sockets Layer 安全套阶层)
    oicq           #(openingIseekyou QQ协议)
    bootp          #BOOTP(Bootstrap Protocol,引导程序协议))
    ......
    排除arp包:   !arp   或者   not arp
2、 过滤源和目的IP地址
 过滤源地址
 ip.src_host eq 192.168.31.106          #相当于
 ip.src_host == 192.168.31.106

 过滤目的地址
 ip.dst_host eq 192.168.31.106          #相当于
 ip.dst_host == 192.168.31.106

 过滤源地址或者目的地址
 ip.addr eq 192.168.31.106                #相当于
 ip.addr == 192.168.31.106

提示: 在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色。
例如:
语法正确如下图:

图片.png

语法错误如下图:

图片.png
3、针对端口进行过滤
  例子:
  tcp.port eq 80                    #不管端口是来源的还是目标的都显示,相当于
  tcp.port == 80

  tcp.port eq 80 or udp.port eq 80

  tcp.srcport == 80                 #只显tcp协议的源端口80
  tcp.dstport == 80                 #只显tcp协议的目标端口80

  udp.port eq 15000
  tcp.port >= 1 and tcp.port <= 80  #过滤端口范围
4、过滤MAC地址
  eth.addr eq B4-6D-83-2B-27-D5
  
  eth.src eq B4-6D-83-2B-27-D5 // 过滤来源mac
  eth.dst == B4-6D-83-2B-27-D5 // 过滤目标mac
5、针对http的请求类型进行过滤
  http.request.method == "GET"
  http.request.method == "POST"

====================备注:

  <          lt          less than 小于 
  <=         le          小于等于
  ==         eq          等于
  >          gt          大于
  >=         ge          大于等于 
  !=         ne          不等于

以上个人总结常用过滤方法
更多详情推荐博客:https://blog.csdn.net/hzhsan/article/details/43453251

相关文章

  • Wireshark大白鲨抓包工具

    wireshark大白鲨工具的基本使用 wireshark过滤规则: http.request.method=="...

  • Wireshark过滤规则

    以下截图是Wireshark的过滤操作截图,其他的过略规则操作相同,这里不再截图: UDP数据包过滤 UDP协议分...

  • Wireshark 过滤规则

    Wireshark过滤规则: 过滤ip 查找目标ip的包ip.dst==xxx.xxx.xxx.xxx 查找来源地...

  • Wireshark 过滤规则

    1、过滤协议,直接写协议名称 2、 过滤源和目的IP地址 提示: 在Filter编辑框中,收入过虑规则时,如果语法...

  • Wireshark 过滤规则

    过滤 ip ip.dst==10.10.10.10ip.src==10.10.10.10ip.addr==10.1...

  • wireshark抓取TCP包

    tcpdump到文件 wireshark过滤规则 查看统计数量 包数据分析

  • wireshark常用过滤规则

    可使用单个或多个过滤条件(可使用==,>=等),多个条件时使用and or进行连接 1.过滤IP,如来源IP或者目...

  • 【Wireshark】- 入门篇(1)

    【Wireshark】- 入门篇(1)【Wireshark】- 过滤器(2)【Wireshark】- Statis...

  • wireshark使用手册

    过滤规则 只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析...

  • wireshark

    一道ctf题,流量题 给的流量包放到wireshark里,过滤规则http.request.method ==”P...

网友评论

      本文标题:Wireshark 过滤规则

      本文链接:https://www.haomeiwen.com/subject/kqzdvxtx.html