wireshark抓包工具常用筛选命令方法

Wireshark过滤规则使用

一、      MAC地址过滤

命令汇总:

eth.addr==20:dc:e6:f3:78:cc

eth.src==20:dc:e6:f3:78:cc

eth.dst==20:dc:e6:f3:78:cc

1、根据MAC地址进行筛选

使用命令:eth.addr==20:dc:e6:f3:78:cc

命令解说:筛选出MAC地址是20:dc:e6:f3:78:cc的数据包,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部数据包。

2、根据源MAC地址筛选

使用命令:eth.src==20:dc:e6:f3:78:cc

命令解说:筛选出源MAC地址是20:dc:e6:f3:78:cc的数据包

3、根据目的MAC地址筛选

使用命令:eth.dst==20:dc:e6:f3:78:cc

命令解说:筛选出目的MAC地址是20:dc:e6:f3:78:cc的数据包。

二、      IP地址过滤

ip.addr==192.168.1.122                 //根据IP地址筛选,包括源ip或者目的IP

ip.src==192.168.1.122                 //根据源IP地址筛选

ip.dst==192.168.1.122                //根据目的IP地址筛选

1、根据IP地址进行筛选

使用命令:ip.addr==192.168.1.122

命令解说:筛选出IP地址是192.168.1.122的数据包,包括源IP地址或者目的IP地址使用的是192.168.1.122的全部数据包。

2、根据源IP地址筛选

使用命令:ip.src==182.254.110.91

命令解说:筛选出源IP地址是182.254.110.91的数据包

3、根据目的IP地址筛选

使用命令:ip.dst==192.168.1.122

命令解说:筛选出目的地址是192.168.1.122的数据包。

1      端口过滤

端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;

tcp.port==80                  //根据TCP端口筛选数据包,包括源端口或者目的端口

tcp.dstport==80               //根据目的TCP端口筛选数据包。

tcp.srcport==80               //根据源TCP端口筛选数据包。

udp.port==4010              //根据UDP端口筛选数据包,包括源端口或者目的端口

udp.srcport==4010            //根据源UDP端口筛选数据包。

udp.dstport==4010           //根据目的UDP端口筛选数据包。

1、筛选TCP端口

使用命令:tcp.port==80

命令解说:筛选出TCP端口是80通信的数据包,包括源端口使用TCP 80或者目的端口使用tcp 80端口的数据包。

2、筛选目的端口数据包

使用命令:tcp.dstport==80

命令解说:筛选出目的端口使用的是TCP 80通信的数据包

3、筛选源端口数据包

使用命令:tcp.srcport==80

命令解说:筛选出源端口是采用tcp 80端口的数据包。

1      协议筛选

根据通讯协议进行筛选数据包,例如http协议、ftp协议等等。常用协议有下:

udp

tcp

arp

icmp

smtp

pop

dns

ip

ssl

http

ftp

telnet

ssh

rdp

rip

ospf

1、筛选出http协议数据包

协议筛选相对来说比较简单,直接在过滤窗口(filter)输入协议即可。例如筛选出http协议的数据如下图:

注意:在进行协议筛选的时候,协议名称一定要写成小写,否则会出错的。

2、筛选出http的GET数据包

使用命令:http.request.method==GET

命令解说:筛选出http协议采用get方式的数据包。注意GET一定要写成大写,否则筛选不出来的。

3、筛选出http的POST数据包。

使用命令: http.request.method==POST

命令解说:筛选出采用http协议的post方式的数据包,注意POST参数一定要写成大写的,否则筛选不出来数据。

1      逻辑条件组合筛选

逻辑表达式汇总:

||                                 //逻辑或

&&                               //逻辑与

!                                    //逻辑非

1、逻辑与筛选方法

使用命令:ip.src==192.168.1.122&&ip.dst==121.114.244.119

命令解说:筛选出源ip地址是192.168.1.122并且目的地址是121.114.244.119的数据包。在使用的时候也可以用括号进行包含区分,上面的命令也可以等价于以下命令

(ip.src==192.168.1.122)&&(ip.dst==121.114.244.119)

2、逻辑或筛选

使用命令:ip.src==192.168.1.122||ip.src==182.254.110.91

命令解说:筛选出源IP地址是192.168.1.122或者源ip地址是182.254.110.91的数据包

3、逻辑非筛选

使用命令:!(ip.addr==192.168.1.122)

命令解说:筛选出不是192.168.1.122的数据包。

时间: 2024-11-13 12:50:59

wireshark抓包工具常用筛选命令方法的相关文章

Wireshark抓包工具使用教程以及常用抓包规则

Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析,不过要说明的是,这只是一个工具,用法是非常灵活的,所以今天讲述的内容可能无法直接帮你解决问题,但是只要你有解决问题的思路,学习用这个软件就非常有用了.Wireshark官方下载地址:http://www.wireshark.org/download.html如果记不住,可以在百度中输入Wir就可以看到百度智能匹配的关键词了,选择第一个地址进去下载即可. 简单介绍下这个软件的一些常用按钮,因为本

Fiddler抓取https请求 & Fiddler抓包工具常用功能详解

大家好,我是TT,互联网测试行业多年,没有牛逼的背景,也没有什么可炫耀的,唯独比他人更努力,在职场打拼.遇到过的坑,走过的弯路,愿意与大家分享,分享自己的经验,少走弯路.首发于个人公众号[测试架构师] 原文如下: 先来看一个小故事: 小T在测试APP时,打开某个页面展示异常,于是就跑到客户端开发小A那里说:"你这个页面做的有问题,页面展示异常":小A说:"这哪是我的问题,你去找后台吧,后台接口返回数据有问题":小T就屁颠屁颠的跑到后台接口开发小M那里说:"

Linux中tshark(wireshark)抓包工具使用方法详解

在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析.最近才发现,原来wireshark也提供有Linux命令行工具-tshark.tshark不仅有抓包的功能,还带了解析各种协议的能力.下面我们以两个实例来介绍tshark工具. 1.安装方法  代码如下 复制代码 CentOS: yum install -y wiresharkUbuntu: apt-get install

Wireshark抓包工具基本用法

下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包.例如,如果想要在无线网络上抓取流量,点击无线接口.点击Capture Options可以配置高级属性,但现在无此必要. 点击接口名称之后,就可以看到实时接收的报文.Wireshark会捕捉系统发送和接收的每一个报文.如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文. 上端面板每一行对应一个网络报文,默认显示报文接收时间(相对开始抓取的时间点),源和目标IP地址,使

了解使用wireshark抓包工具

一.简介 1.什么是wireshark 百度: Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换. 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件.Ethereal的出现改变了这一切.在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利.Etherea

wireshark抓包工具

一.Wireshark数据包格式 1.ICMP是tcp/ip协议族的一个子协议,用于在IP主机.路由器之间传递控制消息.控制消息是指网络不通.主机是否可达.路由是否可用等网络本身的消息. ICMP协议通过IP协议发送的,IP协议是一种无连接的.不可靠的数据包协议,属于网络层协议. ICMP报文是在IP数据包内传输的.在实际传输中的数据包结构:20字节IP首部+8字节ICMP首部+1472字节38字节. ICMP报文格式:IP首部(20字节)+8位类型+8位代码+16位校验和+(不同的类型和代码,

wireshark抓包工具简介以及tcp三次握手的一些含义

wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必须了解网络协议,否则就看不懂wireshark了.为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包. wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wires

模仿Wireshark网络抓包工具实现---c++

最近在用Wireshark抓包工具的时候,老感觉这东西用起来很简单,功能强大,所以想了解他的实现原理,我就自己好奇写了一个实现基本功能的demo吧. 其实叫抓包工具,其实就是抓取流经自己网卡的所有ip包,我们能够按照ip包的协议解析不就行了. 实现的核心在这里: 1 //创建SOCKET 2 sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP); 3 if (sock == INVALID_SOCKET) 4 { 5 cout << WSAGetLastEr

windows和linux下的抓包工具

Linux 抓包工具 tcpdump 示例 tcpdump  -i   bond0  host 10.70.11.182 -w  ./sms.cap windows抓包工具 常用静态式 ip.dst==211.137.124.14 or ip.src==211.137.124.14 原文地址:https://www.cnblogs.com/veryvalley/p/8447888.html