精华内容
下载资源
问答
  • 2022-06-15 16:46:33

    一、IP过滤:包括来源IP或者目标IP等于某个IP

    比如:ip.src addr192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
    ip.dst addr192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

    二、端口过滤:
    比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80
    过滤端口范围
    tcp.port >= 1 and tcp.port <= 80

    三、协议过滤:tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    等等
    排除ssl包,如!ssl 或者 not ssl

    四、包长度过滤:
    比如:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和User Datagram Protocol (UDP)_bingzhilingyi的博客-CSDN博客
    tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,从eth开始到最后

    五、http模式过滤:
    例子:
    http.request.method == “GET”
    http.request.method == “POST”
    http.request.uri == “/img/logo-edu.gif”
    http contains “GET”
    http contains “HTTP/1.”
    // GET包包含某头字段
    http.request.method == “GET” && http contains “Host: ”
    http.request.method == “GET” && http contains “User-Agent: ”
    // POST包包含某头字段
    http.request.method == “POST” && http contains “Host: ”
    http.request.method == “POST” && http contains “User-Agent: ”
    // 响应包包含某头字段
    http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
    http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”

    六、连接符 and / or

    七、表达式:!(arp.src192.168.1.1) and !(arp.dst.proto_ipv4192.168.1.243)

    八、expert.message是用来对info信息过滤,主要配合contains来使用
     

    更多相关内容
  • wireshark过滤规则

    千次阅读 2021-01-28 14:53:58
    一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:  (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。  表达式为:ip.src ==192.168.0.1  (2)对目的地址为192.168.0.1...

      一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:

      (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。

               表达式为:ip.src == 192.168.0.1

      (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。

               表达式为:ip.dst == 192.168.0.1

      (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。

               表达式为:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

      (4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。

               表达式为:!(表达式)

     

      二、针对协议的过滤

      (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。

                    表达式为:http

      (2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。

               表达式为:http or telnet (多种协议加上逻辑符号的组合即可)

      (3)排除某种协议的数据包

               表达式为:not arp      !tcp

     

      三、针对端口的过滤(视协议而定)

      (1)捕获某一端口的数据包

               表达式为:tcp.port == 80

      (2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式

               表达式为:udp.port >= 2048

     

      四、针对长度和内容的过滤

      (1)针对长度的过虑(这里的长度指定的是数据段的长度)

               表达式为:udp.length < 30   http.content_length <=20

      (2)针对数据包内容的过滤

          表达式为:http.request.uri matches "vipscu"  (匹配http请求中含有vipscu字段的请求信息)

      

    以下是一些示例:

    tcp dst port 3128

    显示目的TCP端口为3128的封包。

    ip src host 10.1.1.1

    显示来源IP地址为10.1.1.1的封包。

    host 10.1.2.3

    显示目的或来源IP地址为10.1.2.3的封包。

    src portrange 2000-2500

    显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

    not imcp

    显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

    src host 10.7.2.12 and not dst net 10.200.0.0/16

    显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

    (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

    显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

    http.host==magentonotes.com
    http.host contains xxx.com
    过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名

    http.response.code==302
    过滤http响应状态码为302的数据包

    http.response==1
    过滤所有的http响应包

    http.request==1
    过滤所有的http请求,貌似也可以使用http.request

    http.request.method==POST
    wireshark过滤所有请求方式为POST的http请求包,注意POST为大写

    http.cookie contains guid
    过滤含有指定cookie的http数据包

    http.request.uri==”/online/setpoint”
    过滤请求的uri,取值是域名后的部分

    http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
    过滤含域名的整个url则需要使用http.request.full_uri

    http.server contains “nginx”
    过滤http头中server字段含有nginx字符的数据包

    http.content_type == “text/html”
    过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包

    http.content_encoding == “gzip”
    过滤content_encoding是gzip的http包

    http.transfer_encoding == “chunked”
    根据transfer_encoding过滤

    http.content_length == 279
    http.content_length_header == “279″
    根据content_length的数值过滤

    http.server
    过滤所有含有http头中含有server字段的数据包

    http.request.version == “HTTP/1.1″
    过滤HTTP/1.1版本的http包,包括请求和响应

    http.response.phrase == “OK”
    过滤http响应中的phrase

    展开全文
  • Wireshark过滤规则

    千次阅读 2021-06-19 22:15:44
    Wireshark 是世界上应用最广泛的网络协议分析器,它让我们在微观层面上看到整个网络正在发生的事情;Whireshark 可以帮你看到整个网络交通情况,也可以帮你深入了解每个封包

    (一)HTTP过滤

    (1)域名过滤

    【描述】
    过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名
    【方式一】
    http.host==baidu.com
    【方式二】
    http.host contains baidu.com

    (2)HTTP状态码过滤

    【描述】
    过滤http响应状态码为302的数据包

    【过滤http响应状态码为302的数据包】
    http.response.code==302

    【过滤所有的http响应包】
    http.response==1

    (3)过滤所有的http请求

    http.request==1

    (4)过滤HTTP-Method

    【描述】
    wireshark过滤所有请求方式为POST的http请求包,注意POST为大写

    【参考】
    http.request.method==POST

    (5)过滤请求的uri

    http.request.uri==”/online/setpoint”

    //过滤请求的uri,取值是域名后的部分

    (6)content_type

    【描述】
    过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包

    【参考】
    http.content_type == “text/html”

    (二)IP过滤

    (1)来源IP或目的IP过滤

    【描述】
    来源IP或目的IP等于XXX

    ip.addr==39.156.69.79

    【示例】
    在这里插入图片描述
    在这里插入图片描述

    (2)来源IP

    【描述】
    来源IP等于XXX

    【参考】
    ip.src==XXX

    ip.src==192.168.0.111
    在这里插入图片描述

    (3)目的IP

    【描述】
    目标IP等于XXX

    【参考】
    ip.dst==XXX

    ip.dst==192.168.0.111

    (三)端口过滤

    可以过滤两种协议的端口,udp和tcp。以下tcp均可替换为udp

    tcp.portXXX 通过端口XXX的包
    tcp.srcport
    XXX 来源端口为XXX
    tcp.dstport==XXX 目标端口为XXX

    【示例】
    访问HTTPS网站握手时目标客户端443端口会返回信息
    在这里插入图片描述

    展开全文
  • Wireshark过滤规则的使用!

    千次阅读 多人点赞 2021-03-13 17:23:45
    文章目录MAC地址过滤显示包含的MAC地址只显示源MAC地址只显示目标MAC地址IP地址过滤显示包含的IP地址只显示源IP地址只显示目标IP地址端口号过滤显示包含端口号为80的报文只显示源端口号为80的报文只显示目标端口号为...

    MAC地址过滤

    显示包含的MAC地址

    eth.addr==38:b1:db:d4:41:c5
    

    不管是源MAC地址还是目标MAC地址,只要包含38:b1:db:d4:41:c5的MAC地址都会显示出来

    在这里插入图片描述

    在这里插入图片描述

    只显示源MAC地址

    eth.src==38:b1:db:d4:41:c5
    

    只显示源MAC地址为38:b1:db:d4:41:c5的报文

    在这里插入图片描述

    只显示目标MAC地址

     eth.dst==38:b1:db:d4:41:c5
    

    只显示源MAC地址为38:b1:db:d4:41:c5的报文

    在这里插入图片描述

    IP地址过滤

    显示包含的IP地址

    ip.addr==192.168.2.101
    

    不管是源IP地址为192.168.2.101还是目标IP地址为192.168.2.101,只要IP地址为192.168.2.101的报文都会显示出来

    在这里插入图片描述

    只显示源IP地址

    ip.src==192.168.2.101
    

    只显示源IP地址为192.168.2.101的报文

    在这里插入图片描述

    只显示目标IP地址

    ip.dst==192.168.2.101
    

    只显示目标IP地址为192.168.2.101的报文

    在这里插入图片描述

    端口号过滤

    显示包含端口号为80的报文

    tcp.port==80
    

    不管是源端口号为80还是目标端口号为80,只要包含端口号为80的都会显示出来

    在这里插入图片描述
    在这里插入图片描述

    只显示源端口号为80的报文

    tcp.srcport==80
    

    只显示源端口号为80的报文

    在这里插入图片描述

    只显示目标端口号为80的报文

    tcp.dstport==80
    

    只显示目标端口号为80的报文

    在这里插入图片描述

    过滤高层协议

    http
    

    在这里插入图片描述

    语法

    and            且
    or               或
    not             非
    ()           括号里面代表整体

    tcp or http and (not icmp)
    

    过滤tcp或http且拒绝icmp的报文

    在这里插入图片描述

    展开全文
  • Wireshark 过滤 规则

    2021-10-28 10:28:49
    在做网络的开发中 我们必不可少的 工具就是...需要根据那一层的标记去过滤 就在 wireshark filter 上ip. 开始就会list 出能支持的过滤项。 例如需要过滤ip。 链路层 关键字过滤 传输层: 链路层含有另一个...
  • 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168...windows上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再截图。 ip.src eq 10.175.168.182 截图示例...
  • WireShark过滤规则

    2019-12-06 22:51:13
    Wireshark是一款强大的抓包软件,其中过滤规则最主要分为两部分 一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则 分别对应下面两张图的对应规则填写位置 如果符合对应的规则那么就会显示成为...
  • WireShark常用过滤规则

    千次阅读 2021-11-16 15:49:27
    一、地址过滤 对源地址及目的地址过滤 ip.src == 192.168.0.1 ip.dst == 192.168.0.1 对源地址或者目的地址过滤 ip.addr == 192.168.0.1 排除某个地址数据包过滤 !(ip.addr == 192.168.0.1) 二、端口过滤 ...
  • wireshark简单过滤规则

    2022-05-10 14:08:57
    一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:  (1)对源地址为:ip.src == 192.168.0.0  (2)对目的地址为为:ip.dst == 192.168.0.0  (3)对源或者目的地址表达式为:ip.addr == 192....
  • wireshark过滤规则详解

    千次阅读 2018-03-05 17:35:43
    过滤器有两种: 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -&gt; Capture Filters 中设置 保存过滤...
  • wireshark过滤规则及使用方法

    万次阅读 多人点赞 2018-08-12 12:12:27
    首先要注意,如果你是使用localhost或者127.0.0.1进行测试的,流量是...Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.ds...
  • http://blog.sina.com.cn/s/blog_60a65db5010135ib.html一、IP过滤:包括来源IP或者目标IP等于某个IP比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IPip.dst addr==192.168.0.208 or ...
  • IP地址 ip.addr == [IP] 源地址 ip.src==[源地址] 目的地址 ip.dst==[目的地址] 协议 直接Filter框中输入协议名 分析流量包思路
  • WireShark 常见过滤规则

    2021-03-03 21:55:51
    1、IP地址相关的过滤ip.addr == 127.0.0.1 //过滤ip地址为 127.0.0.1的包(包括源和目的) ip.src == 192.168.1.55 //过滤ip地址为 192.168.1.55的包 ip.dst == 192.168.1.55 //过滤目的ip地址为 192.168.1.55...
  • Wireshark过滤规则设置

    2016-08-17 14:29:17
    wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;  2、端口过滤。 如过滤80端口,在Filter中输入,tcp.port==80,这条...
  • (表达式) 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP Linux上运行的wireshark图形窗口截图示例,其他过虑规则操作类似,不再...
  • wireshark过滤规则 WireShark过滤语法 1.过 滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP ...
  • 过滤出源IP地址为192.168.43.137的报文   ip.dst == 192.168.43.137  过滤出目标IP地址为192.168.43.137的报文   tcp.port == 80  过滤出包含tcp的80端口号   tcp.srcport== 80  过滤出源tcp的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,888
精华内容 1,955
关键字:

wireshark过滤规则ip