精华内容
下载资源
问答
  • wireshark捕获/过滤指定ip地址数据包

    千次阅读 2018-03-06 00:01:46
    使用捕获过滤或显示过滤wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器” 显示过滤wireshark过滤经过指定ip的数据包 显示...

    转载 转载请注明出处:6san.com
    原文地址: http://www.6san.com/630/

    wireshark捕获/过滤指定ip地址数据包

    使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器

    显示过滤:wireshark过滤经过指定ip的数据包

    显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

    ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
    ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
    ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

    eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址

    ip.src==192.168.0.0/16   //网络过滤,过滤一个网段

    捕获过滤:wireshark捕获经过指定ip的数据包

    捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。

    host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包
    src host 192.168.1.1    //源地址,192.168.1.1发出的所有数据包
    dst host 192.168.1.1    //目标地址,192.168.1.1收到的所有数据包

    src host hostname    //根据主机名过滤

    ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

    net 192.168.1    //网络过滤,过滤整个网段
    src net 192.168
    dst net 192

    使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

    非: ! or “not” (去掉双引号)
    且: && or “and”
    或: || or “or”

    wirershark过滤指定ip收发数据包示例:

    抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

    (tcp port 80) and ((dst host 192.168.1.2) or (dst host
    192.168.1.3))   //捕获过滤

    tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

    抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

    (icmp) and ((ether dst host 80:05:09:03:E4:35))

    icmp && eth.dst==80:05:09:03:E4:35

    抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据

    (tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

    tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

    捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

    host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

    ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

    获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

    host 192.168.1.1 and ! 192.168.1.2

    ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

    获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口

    tcp port 23 and host 192.168.1.1

    tcp.port==23&&ip.addr==192.168.1.1

    展开全文
  • 使用捕获过滤或显示过滤wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器” 显示过滤wireshark过滤经过指定ip的数据包 ...

    转载:https://www.cnblogs.com/huanxiyun/articles/6553440.html

    使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器

    显示过滤:wireshark过滤经过指定ip的数据包

    显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

    ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
    ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
    ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

    eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址

    ip.src==192.168.0.0/16   //网络过滤,过滤一个网段

    捕获过滤:wireshark捕获经过指定ip的数据包

    捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。

    host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包
    src host 192.168.1.1    //源地址,192.168.1.1发出的所有数据包
    dst host 192.168.1.1    //目标地址,192.168.1.1收到的所有数据包

    src host hostname    //根据主机名过滤

    ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

    net 192.168.1    //网络过滤,过滤整个网段
    src net 192.168
    dst net 192

    使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

    非: ! or “not” (去掉双引号)
    且: && or “and”
    或: || or “or”

    wirershark过滤指定ip收发数据包示例:

    抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

    (tcp port 80) and ((dst host 192.168.1.2) or (dst host
    192.168.1.3))   //捕获过滤

    tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

    抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

    (icmp) and ((ether dst host 80:05:09:03:E4:35))

    icmp && eth.dst==80:05:09:03:E4:35

    抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据

    (tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

    tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

    捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

    host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

    ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

    获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

    host 192.168.1.1 and ! 192.168.1.2

    ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

    获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口

    tcp port 23 and host 192.168.1.1

    tcp.port==23&&ip.addr==192.168.1.1

    转载请注明出处:6san.com 
    原文地址: http://www.6san.com/630/

    展开全文
  • 一、IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP  ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二...
    一、IP过滤:包括来源IP或者目标IP等于某个IP
    比如:ip.src addr==192.168.0.208  or ip.src addr eq 192.168.0.208 显示来源IP
            ip.dst addr==192.168.0.208  or ip.dst addr eq 192.168.0.208 显示目标IP

    二、端口过滤:
    比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
            tcp.port == 80
            tcp.port eq 2722
            tcp.port eq 80 or udp.port eq 80
            tcp.dstport == 80 // 只显tcp协议的目标端口80
            tcp.srcport == 80 // 只显tcp协议的来源端口80

    过滤端口范围
    tcp.port >= 1 and tcp.port <= 80

    三、协议过滤:tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    等等
    排除ssl包,如!ssl 或者  not ssl

    四、包长度过滤:
    比如:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,从eth开始到最后

    五、http模式过滤:
    例子:
    http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."

    // GET包
    http.request.method == "GET" && http contains "Host: "
    http.request.method == "GET" && http contains "User-Agent: "
    // POST包
    http.request.method == "POST" && http contains "Host: "
    http.request.method == "POST" && http contains "User-Agent: "
    // 响应包
    http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
    http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
    一定包含如下
    Content-Type:

    六、连接符 and / or

    七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
    展开全文
  • wireshark 过滤过滤规则

    千次阅读 2016-06-24 10:51:49
    抓包过滤器定义得当,就可以抓少量的包而达到目的,抓的包太多,wireshark会卡顿。抓包过滤器抓包过滤器,顾名思义是用来抓包的,抓包过滤器抓取数据包,然后显示过滤器再过滤抓取的数据包。所以抓取过滤器的好坏也...

    wireshark 过滤器

    wireshark有两种过滤器,一种是抓包过滤器,一种是显示过滤器,注意两种过滤器的过滤规则不一样
    抓包过滤器定义得当,就可以抓少量的包而达到目的,抓的包太多,wireshark会卡顿。


    抓包过滤器

    抓包过滤器,顾名思义是用来抓包的,抓包过滤器抓取数据包,显示过滤器过滤前者抓取的数据包。所以抓取过滤器的好坏也影响着显示效果。抓取过多无用的包,会造成wireshark卡顿。如果少抓或漏抓又满足不了需求。所以,抓包过滤规则至关重要。


    抓包设置

    capture—-options—-capture filters输入框,输入过滤规则,比如只抓取淘宝登录的包 host login.taobao.com ,点击start就开始抓包了。

    这里写图片描述


    预定义抓包规则

    上一步骤,抓包成功。那我下次抓取淘宝的数据包,是不是还得输入一遍?当然不用,wireshark给我们提供了预定义规则暂存功能,免去重复输入的烦恼。
    点击capture Filter——>new,输入过滤器名字和过滤规则,点击ok。这样以后想用的时候,直接调用就可以了。

    这里写图片描述

    有的时候,我想看看预定义的规则,那么capture—->capture filters即可。

    这里写图片描述

    这里写图片描述


    常用抓包规则

    来源或目的地是指定地址的包

    host 192.168.0.123
    host www.taobao.com

    范围内的包

    net 192.168.0.0/24

    or

    net 192.168.0.0 mask 255.255.255.0

    抓取目的地是某范围的包

    dst net 192.168.0.0/24

    or

    dst net 192.168.0.0 mask 255.255.255.0

    抓取来源是某范围的包

    src net 192.168.0.0/24

    or

    src net 192.168.0.0 mask 255.255.255.0

    仅抓取DNS(端口是53)的包

    port 53

    更多样例可参考,抓包过滤器样例


    显示过滤器

    显示设置

    在主界面filter输入框内,直接输入,点击apply。比如,只显示本地发出去的包

    ip.src==192.168.8.60

    过滤前
    这里写图片描述

    过滤后
    这里写图片描述


    常用显示规则

    过滤从某地址发出的请求

    ip.src==192.168.8.60

    过滤发送到某地址的请求

    ip.dst==192.168.8.60

    过滤http协议

    http

    过滤某地址

    http.request.uri=="/projectname/a.html"

    过滤全地址(它与uri的区别是,包含host)

    http.request.full_uri=="www.mydomain.com/projectname/a.html"

    预定义显示规则

    这里写图片描述
    这里写图片描述

    更多过滤规则,点击expression就可以显示
    这里写图片描述

    展开全文
  • wireshark 抓包过滤器使用

    千次阅读 2019-02-12 14:47:22
    文章目录wireshark 抓包过滤器一、抓包过滤过滤mac地址:过滤IP地址:过滤端口:过滤协议:二、显示过滤器比较符:逻辑操作符:ip地址:端口过滤:协议过滤wireshark 抓包过滤过滤器分为抓包过滤器和显示...
  • wireshark 抓包过滤

    2019-02-18 10:12:00
    wireshark 抓包过滤器 原文:wireshark 抓包过滤wireshark 抓包过滤器 https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件...
  • 过滤源ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1; 使用wireshark常用的过滤命令 2 端口...
  • Wireshark抓包过滤

    千次阅读 2019-05-07 15:10:13
    Wireshark是windows下的抓包工具。 本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。 Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器 使用wireshark时,将会得到...
  • wireshark显示过滤器和捕获过滤

    万次阅读 2018-11-14 20:52:57
    关于wireshark 过滤器的使用,包括wireshark显示过滤器和wireshark捕获过滤器。
  • 显示过滤wireshark过滤经过指定ip的数据包 显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。 ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包 ip.dst==192.168...
  • wireshark常用的过滤命令

    千次阅读 2016-04-20 10:55:32
    1.ip过滤 查找目的地址:ip.dst==192.168.101.8 查找源地址:ip.src==1.1.1.1   2.端口过滤 源端口和目的端口:tcp.port==80 目的端口:tcp.dstport==80 滤源端口:cp.srcport==80   3.协议过滤 直接输入协议名  ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 6,715
精华内容 2,686
关键字:

wireshark目的ip过滤