wireshark过滤操作符关键字
wireshark过滤语句中常用的操作符关键字有:
eq,== 等于
ne,!= 不等于
gt,> 比…大
lt,< 比…小
ge,>= 大于等于
le,<= 小于等于
and,|| 且
or,&& 或
not,! 取反
另外还有contains和matches两个不常用的关键字,但效果很好。
“contains”过滤包含指定字符串的数据包。例如:
http.request.uri contains “/dll/test.htm?”
//过滤http请求的uri中含有/dll/test.htm?字段的请求信息
udp contains 81:60:03
//过滤包含81:60:03的udp数据包
修改wireshark协议解析规则
不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。
1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC协议解析。
wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框,可以解析的协议列表。
“Enabled Protocols”对话框中取消勾选QUIC,Save按钮保存设置即可。
2.不使用协议的默认端口,导致不能识别解码,如:HTTP协议使用800端口而不是标准80端口,可以强制将那些包按照指定协议解析。
选中包,然后右键菜单中选择”Decode As”,打开Decode As对话框
或者wireshark菜单“Analyze”–>Decode As…、User Specified Decodes… 用户自定义的解码规则列表
Decode As对话框可以临时设置解码器,退出Wireshark以后,这些设置会丢失
Decode 使用选择的方式解码
Do not decode 不使用选定方式解码
Show Current 打开”Decode As: Show” 对话框,显示已经指定的解码器列表
wireshark捕获/过滤指定ip地址数据包
使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器”
显示过滤:wireshark过滤经过指定ip的数据包
显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。
ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包
eth.addr== 80:f6:2e:ce:3f:00 //根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址”
ip.src==192.168.0.0/16 //网络过滤,过滤一个网段
捕获过滤:wireshark捕获经过指定ip的数据包
捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。
host 192.168.1.1 //抓取192.168.1.1 收到和发出的所有数据包
src host 192.168.1.1 //源地址,192.168.1.1发出的所有数据包
dst host 192.168.1.1 //目标地址,192.168.1.1收到的所有数据包
src host hostname //根据主机名过滤
ether host 80:05:09:03:E4:35 //根据MAC地址过滤
net 192.168.1 //网络过滤,过滤整个网段
src net 192.168
dst net 192
使用“非/且/或”建立组合过滤条件可以获得更精确的捕获
非: ! or “not” (去掉双引号)
且: && or “and”
或: || or “or”
wirershark过滤指定ip收发数据包示例:
抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据
(tcp port 80) and ((dst host 192.168.1.2) or (dst host
192.168.1.3)) //捕获过滤
tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3) //显示过滤
抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据
(icmp) and ((ether dst host 80:05:09:03:E4:35))
icmp && eth.dst==80:05:09:03:E4:35
抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据
(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))
tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)
捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信
host 192.168.1.1 and (192.168.1.2 or 192.168.1.3 )
ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)
获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包
host 192.168.1.1 and ! 192.168.1.2
ip.addr==192.168.1.1&&!ip.addr==192.168.1.2
获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口
tcp port 23 and host 192.168.1.1
tcp.port==23&&ip.addr==192.168.1.1
wireshark过滤MAC地址/物理地址
wireshark中根据MAC地址/物理地址过滤数据包,捕获过滤和显示过滤的语法如下:
wireshark捕获过滤中过滤MAC地址/物理地址
ether host 80:f6:2e:ce:3f:00 //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包
ether dst host 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包
ether src host 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包
wireshark显示过滤中过滤MAC地址/物理地址
eth.addr== 80:f6:2e:ce:3f:00 //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包
eth.src== 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包
eth.dst== 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包