wireshark相关知识

wireshark过滤操作符关键字

wireshark过滤语句中常用的操作符关键字有:
eq,== 等于
ne,!= 不等于
gt,> 比…大
lt,< 比…小
ge,>= 大于等于
le,<= 小于等于
and,|| 且
or,&& 或
not,! 取反

另外还有contains和matches两个不常用的关键字,但效果很好。

“contains”过滤包含指定字符串的数据包。例如:
http.request.uri contains “/dll/test.htm?”
//过滤http请求的uri中含有/dll/test.htm?字段的请求信息

udp contains 81:60:03
//过滤包含81:60:03的udp数据包

修改wireshark协议解析规则

不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。

1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC协议解析。
wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框,可以解析的协议列表。

“Enabled Protocols”对话框中取消勾选QUIC,Save按钮保存设置即可。

2.不使用协议的默认端口,导致不能识别解码,如:HTTP协议使用800端口而不是标准80端口,可以强制将那些包按照指定协议解析。

选中包,然后右键菜单中选择”Decode As”,打开Decode As对话框

或者wireshark菜单“Analyze”–>Decode As…、User Specified Decodes… 用户自定义的解码规则列表

Decode As对话框可以临时设置解码器,退出Wireshark以后,这些设置会丢失

Decode 使用选择的方式解码
Do not decode 不使用选定方式解码
Show Current 打开”Decode As: Show” 对话框,显示已经指定的解码器列表

wireshark捕获/过滤指定ip地址数据包

使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器

显示过滤:wireshark过滤经过指定ip的数据包

显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址

ip.src==192.168.0.0/16   //网络过滤,过滤一个网段

捕获过滤:wireshark捕获经过指定ip的数据包

捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。

host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包
src host 192.168.1.1    //源地址,192.168.1.1发出的所有数据包
dst host 192.168.1.1    //目标地址,192.168.1.1收到的所有数据包

src host hostname    //根据主机名过滤

ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

net 192.168.1    //网络过滤,过滤整个网段
src net 192.168
dst net 192

使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

非: ! or “not” (去掉双引号)
且: && or “and”
或: || or “or”

wirershark过滤指定ip收发数据包示例:

抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

(tcp port 80) and ((dst host 192.168.1.2) or (dst host
192.168.1.3))   //捕获过滤

tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

(icmp) and ((ether dst host 80:05:09:03:E4:35))

icmp && eth.dst==80:05:09:03:E4:35

抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据

(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

host 192.168.1.1 and ! 192.168.1.2

ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口

tcp port 23 and host 192.168.1.1

tcp.port==23&&ip.addr==192.168.1.1

wireshark过滤MAC地址/物理地址

wireshark中根据MAC地址/物理地址过滤数据包,捕获过滤和显示过滤的语法如下:

wireshark捕获过滤中过滤MAC地址/物理地址

ether host 80:f6:2e:ce:3f:00   //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包

ether dst host 80:f6:2e:ce:3f:00   //过滤目标地址是80:f6:2e:ce:3f:00的数据包

ether src host 80:f6:2e:ce:3f:00   //过滤源地址是80:f6:2e:ce:3f:00的数据包

wireshark显示过滤中过滤MAC地址/物理地址

eth.addr== 80:f6:2e:ce:3f:00   //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包

eth.src== 80:f6:2e:ce:3f:00   //过滤源地址是80:f6:2e:ce:3f:00的数据包

eth.dst== 80:f6:2e:ce:3f:00   //过滤目标地址是80:f6:2e:ce:3f:00的数据包

时间: 2024-10-13 03:03:34

wireshark相关知识的相关文章

python的list相关知识

关于list的相关知识 list01 = ['alex',12,65,'xiaodong',100,'chen',5] list02 = [67,7,'jinjiao_dawang','relax1949',53] #打印list01.list02 print(list01) print(list02) #列表截取.切片 print(list01[1]) print(list01[-2]) print(list01[1:3]) #列表重复 print(list01 * 3) #列表组合 prin

三层交换机相关知识

三层交换机相关知识 这次的作死之路又要开始了.这次的对象主要是交换机:还是三层的: 这是这次实验的总体用图: 现在现根据图上的标志:将所有的主机配置好:目前没有做任何vlan:所以PC1和PC3是能够互通的: 接下来:我想先去探索下三层交换机关闭portswitch会怎么样: 第一步:先关闭了再说: 因为按照图中的设计:PC1的帧如果想要到达PC2,那么就必然要经过LSW1.但是现在我关闭了g0/0/1端口的portswitch:现在pc1并不能ping通pc2: 通过百度:三层交换机的端口不仅

php学习day7--函数的相关知识

今天我们主要学了函数的相关知识,是个比较基础的知识,但也是很重要的. 一.函数 函数就类似于一个工具,我们写好函数之后可以直接进行调用,可以很大的减少代码的从用性,提高页面性能和可读性. 1.函数的定义 在php中函数的定义方式为: function  name($形参1,$形参2.....){ 要执行的代码 return  123: } 在上方的函数定义式中,name代表函数名,小括号内是形参,是用来传递参数,花括号中的就是调用时需要执行的代码. 函数的调用方式: name(实参1,实参2,.

svn常规操作与相关知识

Svn常规操作与相关知识 一.何谓版本控制 它是一种软件工程籍以在开发的过程中,确保由不同人所编辑的同一档案都得到更新,它透过文档控制记录程序各个模块的改动,并为每次改动编上序号,并且编辑错误之后还可以回溯到以前的版本 二.可供我们选择的版本控制系统 1.VCS  (本地版本控制) 2.VSS.CVS(集中版本控制) 3.ClearCase.SVN.Perforce.TFS(集中版本控制) 4.Mercurial(水银/水星).Git(分布式版本控制) 差异: 1.Git和其他版本控制系统的主要

黑马程序员---Objective-C基础学习---类、对象、方法相关知识笔记

------Java培训.Android培训.iOS培训..Net培训.期待与您交流! ------- 类.对象.方法相关知识笔记 Objective-C相对于C语言有了面向对象的特性,但是ObjC又没有其他面向对象语言那么多语法特性,ObjC本身对面向对象进行了精简.下面是一些相关知识笔记. 类定义 成员变量 方法和属性 self关键字 类定义 在C#.Java等其他高级语言中定义一个类是相当简单点的,直接一个关键字class加一对大括号基本就完成了,但是在ObjC中类的定义相对变化比较大.现

深入浅出安卓学习相关知识,如何从零学好移动开发

原文发表自我的个人主页,欢迎大家访问 http://purplesword.info/mobile-develop 由于近几年来互联网的飞速发展,安卓和iOS平台的大量普及推广,移动开发在当前是非常热门的一个方向. 有不少同学问我如何学习安卓,要学些什么,难不难学.之前一直没有想好应该怎么回答这个问题,只是简单的说安卓自身门槛不高,并不难学.因为我觉得准确回答一个类似这样的问题往往需要灵感.现在根据我的学习体验,做个大概的总结. 1.我为什么学安卓 我从刚开始接触安卓开发到现在也有两三年的时间了

linux 服务器分区格式化相关知识 -mount

关于linux 系统mount和mkfs 的相关知识: 使用mount 1)  Mount的相关格式:mount [-t 文件类型][-o  选项] devicedir 详解: -t 文件类型,通常默认mount会自动选择正确的类型,通常类型ext2/ext3/ext4之类的. 常用的类型有:                  光盘或光盘镜像:iso9660 DOS fat16文件系统:msdos Windows 9x fat32文件系统:vfat Windows NT ntfs文件系统:ntf

【转载】前端面试“http全过程”将所有HTTP相关知识抛出来了...

原文:前端面试“http全过程”将所有HTTP相关知识抛出来了... 来一篇串通,一个http全过程的问题,把所有HTTP相关知识点都带过一遍 http全过程 输入域名(url)-->DNS映射为IP-->TCP三次握手-->HTTP请求-->HTTP响应-->(浏览器跟踪重定向地址)-->服务器处理请求-->服务器返回一个html响应-->(视情况决定释放TCP连接)-->客户端解析HTML-->获取嵌入在HTML中的对象重新发起http请求

Java的File类相关知识

Java的File 目录: 1.创建File的文件或者目录的方法.... 2.创建File对象的构造器的三种形式... 3.关于分割符的相关知识...................... 4.file简单Api介绍................................... 1.再说File的时候就不得不先说一下创建文件和目录的三个方法. <1>createNewFile()必须有已经创建好的路径,才能创建一个文件.返回值:如果指定的文件不存在并成功地创建,则返回 true:如果指