使用Wireshark抓包筛选的常用功能

筛选表达式实际上是一个(或者多个)逻辑表达式
如果要筛选出某个协议的报文比如 tcp, udp, arp, 等等的话。直接输入协议名称即可

源端口等于某个值,比如是 22的报文。怎么做?
tcp.srcport eq 22

目标端口等于某个值,比如是 22的报文。怎么做?
tcp.dstport eq 22

源端口不等于某个值,比如是 22的报文
tcp.srcport ne 22

目标端口不等于某个值,比如是 22的报文
tcp.dstport ne 22

源主机等于某个值,比如是 172.20.58.135。怎么做?
ip.src_host eq 172.20.58.135

目标主机等于某个值,比如是 172.20.58.136。怎么做?
ip.dst_host eq 172.20.58.136

源主机不等于某个值,比如是 172.20.58.135。怎么做?
ip.src_host ne 172.20.58.135

目标主机不等于某个值,比如是 172.20.58.136。怎么做?
ip.dst_host ne 172.20.58.136

假如多个条件都得满足。怎么做?
源主机和源端口等于 172.20.58.135 和 22
ip.src_host eq 172.20.58.135 and tcp.srcport eq 22

也可以用括号括起来
(ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22)

如果是 “或” 的关系。怎么做?
(ip.src_host eq 172.20.58.135) or (tcp.srcport eq 22)

如果是 “非” 的关系。怎么做?
not ((ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22))

端口和IP地址可以是等于、不等于之外。还有
gt  大于
ge  大于等于
lt  小于
le  小于等于

参考文档:Wireshark 用户手册的第六章第四节

使用Wireshark抓包筛选的常用功能

时间: 2024-10-22 05:31:08

使用Wireshark抓包筛选的常用功能的相关文章

Wireshark抓包工具使用教程以及常用抓包规则

Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的,所以今天讲述的内容可能无法直接帮你解决问题,但是只要你有解决问题的思路,学习用这个软件就非常有用了.Wireshark官方下载地址:http://www.wireshark.org/download.html如果记不住,可以在百度中输入Wir就可以看到百度智能匹配的关键词了,选择第一个地址进去下载即可. 简单介绍下这个软件的一些常用按钮,因为本

WireShark抓包过程

wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必须了解网络协议,否则就看不懂wireshark了. 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包. wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wire

wireshark怎么抓包、wireshark抓包详细图文教程(转)

wireshark怎么抓包.wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必须了解网络协议,否则就看不懂wireshark了. 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包. wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS

wireshark抓包分析

wireshark抓包分析 wireshark是非常流行的网络封包分析软件,功能十分强大.可以抓取各种网络包,并显示网络包的详细信息. 开始界面 wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡. 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡.然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤

Wireshark抓包,带你快速入门

前言 关于抓包我们平时使用的最多的可能就是Chrome浏览器自带的Network面板了(浏览器上F12就会弹出来).另外还有一大部分人使用Fiddler,Fiddler也是一款非常优秀的抓包工具.但是这两者只能对于HTTP和HTTPS进行抓包分析.如果想要对更底层的协议进行分析(如TCP的三次握手)就需要用到我们今天来说的工具Wireshark,同样是一款特牛逼的软件,且开源免费自带中文语言包. 安装和基本使用 Wireshark开源地址:https://github.com/wireshark

wireshark抓包新手使用教程(转)

wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息.常用于开发测试过程各种问题定位.本文主要内容包括: 1.Wireshark软件下载和安装以及Wireshark主界面介绍. 2.WireShark简单抓包示例.通过该例子学会怎么抓包以及如何简单查看分析数据包内容. 3.Wireshark过滤器使用.通过过滤器可以筛选出想要分析的内容.包括按照协议过滤.端口和主机名过滤.数据包内容过滤. Wireshark软件安装 软

云计算之路-阿里云上:Wireshark抓包分析一个耗时20秒的请求

这篇博文分享的是我们针对一个耗时20秒的请求,用Wireshark进行抓包分析的过程. 请求的流程是这样的:客户端浏览器 -> SLB(负载均衡) -> ECS(云服务器) -> SLB -> 客户端浏览器. 下面是分析的过程: 1. 启动Wireshark,针对内网网卡进行抓包. 2. 在IIS日志中找出要分析的请求(借助Log Parser Studio) 通过c-ip(Client IP Address)可以获知SLB的内网IP,在分析Wireshar抓包时需要依据这个IP进

用Wireshark抓包来揭开ftp client GG和ftp server MM的勾搭内容并用C代码来简要模拟实现Windows自带的ftp client

前面, 我们玩过http, 颇有点意思, 在本文中, 我们继续来玩ftp(file transfer protocol).   http和ftp都是建立在tcp之上的应用层协议, 无论他们怎么包装, 怎么装bigger, 最终还是基于tcp端到端传输的.本文主要分为两个部分: 一. 用Wireshark抓包来揭开ftp client GG和ftp server MM的勾搭内容.二.用C代码来简要模拟实现Windows自带的ftp client. 说明, 本文中的实验, 我用了两台电脑, 分别是p

Mac OS X上使用Wireshark抓包

Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11).Mac OS X在Mountain Lion之后放弃X11,取而代之的是开源的XQuartz(X11.app).因此,在Mac OS X上安装Wireshark之前,需要先下载安装XQuartz. 1.安装XQuartz XQuartz(XQuartz-2.7.6.dmg)安装完成后,按照提示需要注销重新登录,以使XQuartz作为默认的X11 Server. 安装成功后,在终