抓包前设置过滤
在主菜单上,选择“捕获>选项”:
常见的过滤:
- tcp
- tcp port host
- host 172.18.5.4
- port 53
- net 10.2.25.44 # 网关
- ether src 00:1c:7f:3e:e0:15
- tcp port 443 or tcp port 51045
- tcp[0:2] > 1500 # 端口大于1500
- net 192.168.0.0 mask 255.255.255.0
你可以为检查字节流创建广泛的捕获过滤器。捕获过滤器可以与以太网级别(ether[x:y])、IP级别(ip[x:y])、TCP级别(tcp[x:y])或其他协议类型。
捕获过滤器(如tcp端口80)不应该与显示过滤器(如tcp.port == 80)相混淆。捕获过滤器的限制更多,用于减少原始数据包捕获的大小。显示过滤器用于隐藏一些数据包。
捕获过滤器是在开始捕获数据包之前设置的,在捕获过程中不能被修改。显示过滤器没有这个限制,你可以在捕获过程中修改它们。
显示过滤器简介
在过滤器工具栏中,输入一个不同的协议,如tcp,然后按回车键。
如果语法正确,背景变成绿色,如下图所示。
类似的过滤有:ftp, http, tftp, tftp.opcode == 4, ip.src==145.254.160.237, ip.dst ==145.254.160.237等
可以通过MAC地址等创建显示过滤器,右键单击地址,在弹出的菜单中,选择“作为过滤器应用>选中”,如下图所示:
eth.dst == 6e:1e:d7:11:6e:95 也可以修改为 eth.addr == 6e:1e:d7:11:6e:95
自定义显示过滤器
滤器。在Wireshark主窗口,点击过滤器工具栏右侧的添加按钮(+),如下图所示。
后面单击右上角的"我的过滤器"即可应用规则,
要删除一个按钮,再次点击添加(+)按钮,然后点击 "过滤器按钮首选项"。
右键的"我的过滤器"的弹出菜单也可删除。
显示过滤器:统计
设置显示过滤器 ip.addr == 172.65.253.13
在主菜单上,选择“统计 > Conversations”
选择 "显示过滤器的限制",只显示那些与被过滤的数据包有关的对话。
选择"统计 > Endpoints"
选择 "显示过滤器的限制",只显示那些与被过滤的数据包有关的端点。
更多过滤器:
- frame.len < 1514
- frame.len > 1514
- ip.src != 146.66.102.134
- tcp.srcport <= 443
显示过滤器:基于字段内容
执行ping china-testing.github.io
设置显示过滤器 icmp
过滤器icmp.type == 8只看请求,icmp.type == 0只看响应。not icmp.type 或not icmp看其他协议。
还可以根据序号来查看:frame[40-41] == 0004。
还可以基于关键词过滤,比如:
- telnet.data contains “CEST”
- lower(telnet.data) contains “cest”
- upper(telnet.data) contains “FULL MOON”
网友评论