wireshark捕获/过滤指定ip地址数据包

转载 转载请注明出处:6san.com

原文地址: http://www.6san.com/630/

wireshark捕获/过滤指定ip地址数据包

使用捕获过滤或显示过滤,wireshark可以仅捕获/显示经过指定ip的数据包,即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见:“wireshark过滤器

显示过滤:wireshark过滤经过指定ip的数据包

显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包

ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包

ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址

ip.src==192.168.0.0/16   //网络过滤,过滤一个网段

捕获过滤:wireshark捕获经过指定ip的数据包

捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。

host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包

src host 192.168.1.1    //源地址,192.168.1.1发出的所有数据包

dst host 192.168.1.1    //目标地址,192.168.1.1收到的所有数据包

src host hostname    //根据主机名过滤

ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

net 192.168.1    //网络过滤,过滤整个网段

src net 192.168

dst net 192

使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

非: ! or “not” (去掉双引号)

且: && or “and”

或: || or “or”

wirershark过滤指定ip收发数据包示例:

抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

(tcp port 80) and ((dst host 192.168.1.2) or (dst host

192.168.1.3))   //捕获过滤

tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

(icmp) and ((ether dst host 80:05:09:03:E4:35))

icmp && eth.dst==80:05:09:03:E4:35

抓取所有目的网络是192.168,但目的主机不是192.168.1.2 的TCP 数据

(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

host 192.168.1.1 and ! 192.168.1.2

ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

获取主机192.168.1.1接收或发出的telnet包,telnet使用tcp 23端口

tcp port 23 and host 192.168.1.1

tcp.port==23&&ip.addr==192.168.1.1

时间: 2024-12-25 21:20:01

wireshark捕获/过滤指定ip地址数据包的相关文章

linux下通过iptables只允许指定ip地址访问指定端口的设置方法

这篇文章主要介绍了linux下通过iptables只允许指定ip地址访问指定端口的设置方法,需要的朋友可以参考下. 首先,清除所有预设置 iptables -F#清除预设表filter中的所有规则链的规则 iptables -X#清除预设表filter中使用者自定链中的规则 其次,设置只允许指定ip地址访问指定端口 其次,设置只允许指定ip地址访问指定端口 iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptab

iptables只允许指定ip地址访问指定端口

首先,清除所有预设置 iptables -F#清除预设表filter中的所有规则链的规则 iptables -X#清除预设表filter中使用者自定链中的规则 其次,设置只允许指定ip地址访问指定端口 iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -d xxx.xxx.xxx.xxx -p tcp --sport 22 -j ACCEPT iptables -A INPUT

C#获取指定IP地址的数据库所有数据库实例名

/// <summary> /// 获取指定IP地址的数据库所有数据库实例名. /// </summary> /// <param name="ip">指定的 IP 地址.</param> /// <param name="username">登录数据库的用户名.</param> /// <param name="password">登陆数据库的密码.</p

Ionic使用指定IP地址启动服务器

默认情况下,使用命令ionic serve启动服务器调试程序,必须通过localhost(或者127.0.0.1)来访问.这时手机无法访问该程序. 在网上搜到的,要使用指定IP地址,应该这样启动: ionic serve --address 192.168.xxx.xxx 后来看ionic的帮助文档(ionic -h),其实有相关说明的,怪自己没耐心看文档了...

windows过滤指定IP

通过windows的安全管理策略工具我们可以实现对IP的过滤.整个过程比较复杂.我们以图形演示. 下面我们以windows 8.1作为示例. 1.控制面板=>管理工具=>本地安全策略. 2.创建ip安全策略. 3.创建向导过程. 4.添加ip过滤策略. 5.添加一条过滤. 6.策略配置. 7.添加过滤规则. 8.规则属性. 9.选择规则. 10.指派该策略. windows过滤指定IP

CentOS 网络设置修改 指定IP地址 DNS 网关(转)

CentOS 网络设置修改 指定IP地址 DNS 网关(实测 笔记) 环境: 系统硬件:vmware vsphere (CPU:2*4核,内存2G) 系统版本:Centos-6.5-x86_64 路由器网关:192.168.1.1 步骤: 1.查看网络MAC地址 [[email protected] ~]# cat /etc/udev/rules.d/70-persistent-net.rules 显示如下信息 # PCI device 0x15ad:0x07b0 (vmxnet3) SUBSY

Fiddler捕获抓取 App端数据包

最近项目设计到App抓包,所以采用Fiddler工具来采集获取APP数据包,但是fiddler对有些app是无法捕获到数据包的,以下是我的处理方法: 1. 我默认代理端口使用的是自定义的端口而不是默认的8888端口: 2. 手机端安装Fiddler证书,电脑端关闭防火墙 对我采集的app来说亲测有效能获取到数据包,记录一下操作过程: 以下是我对安卓App进行抓取的步骤: 1.   Fiddler下载地址(http://fiddler2.com/) 2.  安装到电脑,我的电脑系统是Win10 3

使用Wireshark追踪分析PVS PXE启动数据包

Citrix Provisioning Service使用了PXE技术来启动虚拟机给用户使用. 首先, 虚拟机默认下必须设置为网卡启动,网卡通过PXE bootROM在网络中发送FIND帧,该数据帧包含了自己的MAC网卡地址,DHCP服务器接收到该数据帧后,会向网卡返回数据包,其中包括了DHCP为网卡分配的IP地址.子网掩码.网关等信息,网卡收到服务器的指派的参数后,会通过TFTP向服务器发起连接请求,以便和服务器建立连接,并开始数据通信. 客户端和TFTP服务器建立通讯之后,就会从实现DHCP

[RK_2014_0923]wireshark捕捉到的Ethernet II数据包的最小长度为60

一.关于wireshark中以太网数据包的最小长度,请看下面的文字: Packet format A physical Ethernet packet will look like this: Preamble Destination MAC address Source MAC address Type/Length User Data Frame Check Sequence (FCS) 8 6 6 2 46 - 1500 4 As the Ethernet hardware filters