Wireshark过滤器语法设置

Wireshark过滤器语法设置

1. 抓包过滤器

BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。(建议在流量特别大的情况下使用)

1.1 语法说明

  1. 类型Type: host、net、port
  2. 方向Dir: src、dst
  3. 协议Proto: ether、ip、tcp、udp、http、ftp
  4. 逻辑运算符: &&与、||或、!非

1.2 例子

  • src host 192.168.1.1 && dst port 80 抓取源地址为192.168.1.1,目的端口为80的流量
  • host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1和192.168.1.2的流量
  • !broadcast 不要抓广播包

过滤MAC地址案例

  • ether host 00:88:ca:86:f8:od
  • ether src host 00:88:ca:86:f8:od
  • ether dst host 00:88:ca:86:f8:od

过滤IP地址案例

  • host 192.168.1.1
  • src host 192.168.1.1
  • dst host 192.168.1.1

过滤端口案例

  • port 80
  • ! port 80
  • dst port 80
  • src port 80

过滤协议案例

  • arp
  • icmp

综合过滤案例

  • host 192.168.1.1 && port 8080

2. 显示过滤器

抓包过程中抓取所有的协议,但是在显示时对过滤掉的某些协议不予显示。(在流量不大的情况下建议使用 )

2.1 语法说明

比较操作符

==、!=、<、>、>=、=

逻辑操作符

and、or、not(没有条件满足)、xor(有且仅有一个条件满足)

IP地址

ip.addr、ip.src、ip.dst

端口过滤

tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack

协议过滤

arp、ip、icmp、udp、tcp、bootp、dns

2.2 示例

过滤IP地址案例

  • ip.addr == 192.168.1.1
  • ip.src == 192.168.1.1
  • ip.dst == 192.168.1.1

过滤端口案例

  • tcp.port == 80
  • tcp.srcport == 80
  • tcp.dstport == 80
  • tcp.flags.syn == 1

过滤协议案例

  • tcp
  • not http
  • not arp

综合过滤案例

  • ip.src == 192.168.1.100 and udp.port == 4000
时间: 2024-10-12 12:27:46

Wireshark过滤器语法设置的相关文章

Wireshark过滤器语法和参考

1.表达式类型 2.用法示例 切片运算符: eth.src [0:3] == 00:00:83 #过滤以太网前三个字节 原文地址:https://www.cnblogs.com/heiyu/p/11517154.html

Wireshark过滤器使用规则

使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分. 这就是为什么过滤器会如此重要.它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息. 过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中.需要在开始捕捉前设置.显示过滤器(DisplayFilters):在捕捉结果中进行详细查找.他们可以在得到捕捉结果后随意修改.那么我应该使用哪一种过滤器呢? 两种过滤器的目的是不同的.捕捉过滤器是数据经过

抓包工具Wireshark过滤器

抓包工具WireShark分为两种过滤器: 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过虑器语法: Protocol  Direction  Host  Value  LogicalOperations  OtherExpression Tcp   dst      10.1.1.1  80      and               tcp dst 10.2.2.2 3128 Protocol可能的值:ether.fddi.ip.arp.de

Wireshark filter语法

过滤器语法 ------------------------------------------------------------- 最简单的过滤允许你检查一个协议或者字段的存在.如果你想查看所有的使用IP协议的数据包,过滤器为“ip”(不带引号).想看所有包含Token-ring RIF字段的数据包,使用“tr.rif”.可以使用“exist”操作符来看一个协议或者字段是否存在.注意:所有的协议和字段的名字可以在过滤器的参考中获得. 比较操作符------------------------

思考:为什么每一种开发语言的语法都是不一样的呢(语法设置的不一样的出发点是基于什么考虑)?如果设置成一样有什么不可行的吗?

思考:为什么每一种开发语言的语法都是不一样的呢(语法设置的不一样的出发点是基于什么考虑)?如果设置成一样有什么不可行的吗?每一种开发语言中有哪些语法是一样的?可以设置成不一样吗?语法不一样:比如go中定义结构体语法如下:type struct_variable_type struct { age int ; }(可能觉得type和struct两个关键字之间放结构体名称比较合理,两个中间夹一个)而c语言中定义结构体如下:typedef struct struct_variable_type { i

wireshark过滤语法总结

做应用识别这一块常常要相应用产生的数据流量进行分析. 抓包採用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本的语法,供自己以后參考.(脑子记不住东西) wireshark进行过滤时,依照过滤的语法可分为协议过滤和内容过滤. 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的.根据协议属性值进行的过滤如tcp.port==53.http.request.method=="GET". 对内容的过滤,既支持深度

(转)wireshark过滤语法总结

做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考.(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤. 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的.依据协议属性值进行的过滤如tcp.port==53.http.request.method=="GET". 对内容的过滤,既支持深度的

WireShark过滤语法

1.过 滤IP,如来源IP或者目标IP等于某个IP 例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端 口 例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 //

WireShark 过滤语法

1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport