wireshark筛选器汇总

抓取指定IP地址的数据流:

如果你的抓包环境下有很多主机正在通讯,可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例:

  • host 10.3.1.1:抓取发到/来自10.3.1.1的数据流
  • host 2406:da00:ff00::6b16:f02d:抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流
  • not host 10.3.1.1:抓取除了发到/来自10.3.1.1以外的所有数据流
  • src host 10.3.1.1:抓取来自10.3.1.1的数据流
  • dst host 10.3.1.1:抓取发到10.3.1.1的数据流
  • host 10.3.1.1 or 10.3.1.2:抓取发到/来自10.3.1.1,以及与之通讯的所有数据流,与10.3.1.2,以及与之通讯的所有数据流
  • host www.cnblogs.com:抓取发到/来自所有解析为www.cnblogs.com的IP地址的数据流

抓取指定IP地址范围的数据流:

当你需要抓取来自/发到一组地址的数据流,可以采用CIDR(无类别域间路由,Classless Interdomain Routing)格式或使用mask参数。

  • net 10.3.0.0/16:抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度)
  • net 10.3.0.0 mask 255.255.0.0:与之前的过滤结果相同
  • ip6 net 2406:da00:ff00::/64:抓取网络2406:da00:ff00:0000(IPv6)上发到/来自所有主机的数据流
  • not dst net 10.3.0.0/16:抓取除了发到以10.3开头的IP地址以外的所有数据流
  • not src net 10.3.0.0/16:抓取除了来自以10.3开头的IP地址以外的所有数据流
  • ip proto <protocol code>:抓取ip协议字段等于<protocol code>值的报文。如TCP(code 6), UDP(code 17), ICMP(code 1)。
  • ip[2:2]==<number>:ip报文大小
  • ip[8]==<number>:TTL(Time to Live)值
  • ip[9]==<number>:协议值
  • icmp[icmptype]==<identifier>: 抓取 ICMP代码等于identifier的ICMP报文, 如icmp-echo 以及 icmp-request。

抓取发到广播或多播地址的数据流:

只需侦听广播或多播数据流,就可以掌握网络上主机的许多信息。

  • ip broadcast:抓取广播报文
  • ip multicast:抓取多播报文
  • dst host ff02::1:抓取到IPv6多播地址所有主机的数据流
  • dst host ff02::2:抓取到IPv6多播地址所有路由器的数据流

小贴士:

Wireshark包含了一些默认的抓包过滤条件。点击主工具栏的Edit Capture Filters,跳转到已保存抓包过滤列表。你会发现一些常见抓包过滤的示例。

抓取基于MAC地址的数据流:

当你需要抓取发到/来自某一主机的IPv4或IPv6数据流,可创建基于主机MAC地址的抓包过滤条件。

应用MAC地址时,需确保与目标主机处于同一网段。

  • ether host 00:08:15:00:08:15:抓取发到/来自00:08:15:00:08:15的数据流
  • ether src 02:0A:42:23:41:AC:抓取来自02:0A:42:23:41:AC的数据流
  • ether dst 02:0A:42:23:41:AC:抓取发到02:0A:42:23:41:AC的数据流
  • not ether host 00:08:15:00:08:15:抓取除了发到/来自00:08:15:00:08:15以外的所有数据流
  • ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取广播报文
  • ether multicast:多播报文
  • 抓取指定以太网类型的报文:ether proto 0800
  • 抓取指定VLAN:vlan <vlan number>
  • 抓取指定几个VLAN:vlan <vlan number> and vlan <vlan number>

抓取基于指定应用的数据流:

你可能需要查看基于一个或几个应用的数据流。抓包过滤器语法无法识别应用名,因此需要根据端口号来定义应用。通过目标应用的TCP或UDP端口号,将不相关的报文过滤掉。

  • port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)
  • not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流
  • port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)
  • udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)
  • tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)
  • portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流
  • tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流

抓取结合端口的数据流:

当你需要抓取多个不连续端口号的数据流,将它们通过逻辑符号连接起来,如下图所示:

  • port 20 or port 21:抓取发到/来自端口20或21的UDP/TCP数据流(典型是FTP数据和命令端口)
  • host 10.3.1.1 and port 80:抓取发到/来自10.3.1.1端口80的数据流
  • host 10.3.1.1 and not port 80:抓取发到/来自10.3.1.1除了端口80以外的数据流
  • udp src port 68 and udp dst port 67:抓取从端口68到端口67的所有UDP数据流(典型是从DHCP客户端到DHCP服务器)
  • udp src port 67 and udp dst port 68:抓取从端口67到端口68的所有UDP数据流(典型是从DHCP服务器到DHCP客户端)
  • 抓取TCP连接的开始(SYN)和结束(FIN)报文,配置tcp[tcpflags] & (tcp-syn|tcp-fin)!=0
  • 抓取所有RST(Reset)标志位为1的TCP报文,配置tcp[tcpflags] & (tcp-rst)!=0
  • less <length>:抓取小于等于某一长度的报文,等同于len <=<length>
  • greater <length>:抓取大于等于某一长度的报文,等同于len >=<length>

SYN: 简历连接的信号

FIN: 关闭连接的信号

ACK: 确认接收数据的信号

RST: 立即关闭连接的信号

PSH: 推信号,尽快将数据转由应用处理

  • tcp[13] & 0×00 = 0: No flags set (null scan)
  • tcp[13] & 0×01 = 1: FIN set and ACK not set
  • tcp[13] & 0×03 = 3: SYN set and FIN set
  • tcp[13] & 0×05 = 5: RST set and FIN set
  • tcp[13] & 0×06 = 6: SYN set and RST set
  • tcp[13] & 0×08 = 8: PSH set and ACK not set

tcp[13]是从协议头开始的偏移量,0,1,3,5,6,8是标识位

时间: 2024-10-11 14:11:04

wireshark筛选器汇总的相关文章

易宝典文章——玩转Office 365中的Exchange Online服务 之二十四 配置垃圾邮件筛选器反垃圾邮件

如果希望实现基于发件人邮件地址,或者需要拒绝某个域的邮件,可以通过Exchange Online提供的垃圾邮件筛选器策略来解决.垃圾邮件筛选器策略除了能够实现上述的黑名单筛选外,还支持白名单筛选,基于国别来进行筛选,比如阻止某岛国语言的邮件,从某小人国发来的邮件等.此外,垃圾邮件筛选器策略还定义做针对不同级别的垃圾邮件如何进行处理,是标注,还是放入垃圾箱,或者是进行隔离等.一.了解默认的垃圾邮件筛选器策略在EAC中,导航到"保护",定位到"垃圾邮件筛选器"选项卡,选

WEB服务器5--IIS中ISAPI扩展、ISAPI筛选器

在IIS的文档中经常会提到两个术语:ISAPI扩展和ISAPI筛选器. ISAPI扩展 “ISAPI扩展(ISAPI Extension)”是一种可以添加到IIS中以增强Web服务器功能的程序,其载体为DLL文件.通常直接负责响应HTTP请求. 根据HTTP请求要访问的资源扩展名(通过URL获取),IIS会选取特定的ISAPI扩展来处理这一请求,这一过程被称为“程序映射”. 而用于响应HTTP请求的这一ISAPI扩展被称为“HTTP Handler(HTTP处理程序)”. 图 8?11展示了II

Tableau之筛选器

tableau筛选器的设置为可以理解为私有变量和全局变量,可以设置为只对当前工作表有效,即私有筛选器,通过此设置可以过滤用户特定需求的数据,也可以设定某几个工作表有效,也可以设置为此数据源的所有工作表,即全局筛选器,如下图 同时,tableau的默认筛选器没有显示“应用”和“取消”选项,这样当一个筛选器有多个选项时,用户每选择一个项目数据就刷新一遍,这样造成资源的极大浪费,用户体验也比较差,所以可以将该选线开放出来,如下图设置, 另外一个问题就是我们通常所讲的级联筛选,比如筛选完Region之后

如何在ASP.NET MVC为Action定义筛选器

在ASP.NET MVC中,经常会用到[Required]等特性,在MVC中,同样可以为Action自定义筛选器,来描述控制器所遵守的规则. 首先,我们在ASP.NET MVC项目中定义一个TestController,控制器中包含两个Action动作方法,代码如下: 1 public class TestController : Controller 2 { 3 4 public string FirstPage() 5 { 6 return "请输入ID"; 7 } 8 // 9

exchange online 连接筛选器

大部分人都有信任的朋友和业务合作伙伴.如果发现他们发来的电子邮件被投放到垃圾邮件文件夹中,甚至完全被垃圾邮件筛选器阻止,将非常令人沮丧.如果您想确保您信任的用户发来的电子邮件不会被阻止,您可以使用连接筛选器策略创建您信任的 IP 地址的允许列表(也称为"安全发件人列表").您还可以创建阻止发件人列表,通常是您不想收到其邮件的已知垃圾邮件制造者的 IP 地址. exchange online 连接筛选器,布布扣,bubuko.com

jQuery筛选器

一.jQuery常用筛选器有以下几种: 1.下一个标签 $(document).next() 2.上一个标签 $(document).prev() 3.父亲标签 $(document).parent() 4.孩子标签 $(document).children() 5.兄弟标签 $(document).siblings() 6.子孙中查找 $(document).find('.i1') /*在子孙中查找class属性为i1的标签*/ 二.具体应用 实现点击菜单栏出现当前菜单下的内容,并隐藏其它菜单

VS工具如何新建筛选器,为何右键添加菜单只有新建文件夹,没有新建筛选器

最近,遇到了一个问题,别人用VS工具新建了一个工程,不知道怎么的,就是没有办法新建筛选器. 今天,终于解决了,记录下,也希望能够帮助更多的人. 当我们的工程目录里的文件越来越多的时候,这时候需要建立帅选器来进行文件分类.其实,用VS工具建立的工程,默认是有刷选器的.如图所示: 从上图可以看到,默认的筛选器,头文件.源文件.资源文件,已经为我们定义好了. 如果你的VS工具建立的工程,没有显示上面的文件夹,原因是你选择了显示所有文件. 从上图可以看到,头文件.源文件目录都没有了. 只要再次点击显示所

Android学习笔记(十八)——使用意图筛选器和实现浏览网页(附源码)

使用意图筛选器 点击下载源码 1.创建一个Intents项目,给该项目添加一个新类,命名为MyBrowserActivity,在res/layout文件夹下新增一个browser.xml: 2.在AndroidManifest.xml文件中添加如下代码: 添加权限: <uses-permission android:name="android.permission.CALL_PHONE" /> <uses-permission android:name="a

如何添加筛选器 (Reporting Services)

如果您希望在计算或显示时包含或排除特定值,可向数据集.数据区域或组添加筛选器.在运行时应用筛选器的顺序为:先对数据集,再对数据区域,最后对组,并按照组层次结构自上而下的顺序.在表.矩阵或列表中,对行组.列组和相邻组分别应用各自的筛选器.在图表中,对类别组和序列组分别应用各自的筛选器. 若要添加筛选器,必须指定一个或多个筛选器公式.筛选器公式由标识了要筛选的数据的表达式.运算符和要比较的值组成.所筛选数据的数据类型和值必须匹配.不支持筛选数据集或数据区域的聚合值. 若要筛选图表中的数据点,可以对类