美文网首页Web安全
wireshark使用手册

wireshark使用手册

作者: Splunker | 来源:发表于2020-05-07 21:20 被阅读0次

    过滤规则

    只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率。

    1.只抓取HTTP报文
    tcp port 80
    
    解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81
    
    2.只抓取arp报文
    ether proto 0x0806
    
    解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000
    
    3.只抓取与某主机的通信
    host www.cnblogs.com
    
    只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址
    
    4.只抓取ICMP报文
    icmp
    

    显示规则

    只是将已经抓取到的包进行过滤显示。

    1.过滤IP,如来源IP或者目标IP等于某个IP
    例子:
    ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
    或者
    ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
    
    2.过滤端口
    tcp.port eq 80      //不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 //只显tcp协议的目标端口80
    tcp.srcport == 80 //只显tcp协议的来源端口80
    udp.port eq 15000
    
    过滤端口范围
    tcp.port >= 1 and tcp.port <= 80
    
    3.过滤协议
    tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    oicq
    bootp
    //排除arp包,如!arp   或者   not arp
    
    4.过滤MAC
    eth.dst == A0:00:00:04:C5:84    // 过滤目标mac
    eth.src eq A0:00:00:04:C5:84    // 过滤来源mac
    eth.dst == A0:00:00:04:C5:84
    eth.dst == A0-00-00-04-C5-84
    eth.addr eq A0:00:00:04:C5:84   // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
    
    5.包长度过滤
    udp.length == 26    //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7        //指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94            //除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119    //整个数据包长度,从eth开始到最后
    
    6.HTTP模式过滤
    http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."
    // GET包
    http.request.method == "GET" && http contains "Host:"
    http.request.method == "GET" && http contains "User-Agent:"
    // POST包
    http.request.method == "POST" && http contains "Host:"
    http.request.method == "POST" && http contains "User-Agent:"
    // 响应包
    http contains "HTTP/1.1 200 OK" && http contains "Content-Type:"
    http contains "HTTP/1.0 200 OK" && http contains "Content-Type:"
    
    7.TCP参数过滤
    tcp.flags                               //显示包含TCP标志的封包。
    tcp.flags.syn == 0x02     //显示包含TCP SYN标志的封包。
    tcp.window_size == 0 && tcp.flags.reset != 1
    
    8.包内容过滤
    tcp[20:8]                       //表示从20开始,取8个字符
    tcp[offset,n]
    udp[8:3]==81:60:03  // 偏移8个bytes,再取3个数,是否与==后面的数据相等
    eth.addr[0:3]==00:06:5B
    

    相关文章

      网友评论

        本文标题:wireshark使用手册

        本文链接:https://www.haomeiwen.com/subject/mywzghtx.html