一站式学习Wireshark第十章

掌握显示过滤器对于网络分析者来说是一项必备的技能。这是一项大海捞针的技巧。学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间。

与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。

更多信息

过滤HTTP数据流:

在排查网页浏览器会话或检查网速过慢问题时,对浏览器会话进行过滤就显得尤为重要。过滤HTTP数据流有两种方式:

http

tcp.port==xx(xx表示所使用的HTTP端口)

第二种过滤方法更加有效。让我们通过分别对网页浏览会话应用两个过滤条件来比较一下:

基于TCP端口号的应用过滤

本例中的抓包文件包含与网站www.wireshark.org的链接以及请求下载Wireshark的请求。我们使用tcp.port==80的显示过滤器并且发现,确实,所有报文都符合条件,如下图所示。很好这就是我们想要的结果。

我们仔细看报文20的Protocol列,Wireshark并没有在报文中看到任何HTTP命令或回复,因此HTTP协议分析器没有被应用于此报文。它只是一个TCP报文(TCP ACK, FIN, RST,以及三路TCP握手信号都列成TCP)。

如果你想要查看TCP连接建立,维护以及关闭报文,就应该使用上述过滤条件(并且你会一直看到这些TCP报文)。

谨慎使用基于TCP的应用名过滤

现在来看一下对数据流应用http过滤条件的情况。下图中,你会看到Wireshark显示了13,353个报文。这些是Protocol列中包含HTTP的报文。

这是整个网站浏览会话的一部分,使用HTTP过滤条件我们无法检测出TCP错误,对于应用永远是使用端口号过滤器优于TCP。

小贴士:

不幸的是,Wireshark对于HTTP数据流的缺省过滤是http。可以考虑将缺省对HTTP数据流的过滤改为基于端口号。

按照某一IP地址或主机过滤报文

对于IPv4数据流,我们使用字段名ip.src,ip.dst,ip.addr;对于IPv6数据流,使用ipv6.src,ipv6.dst,ipv6.host以及ipv6.addr。注意当你在Packet Details面板中点击IP地址时,将会看到它们被称为:ip.src,ip.dst, ipv6.src或ipv6.dst。字段名ip.host和ipv6.host,ip.addr以及ipv6.addr不在报文里。

ip.host和ipv6.host过滤条件在IPv4/IPv6源和目的地址字段查找解析为指定主机名的IPv4或IPv6地址。ip.addr==[address]和ipv6.addr==[address]过滤条件在IPv4/IPv6源和目的地址字段查找指定IPv4/IPv6地址。

  • 例如:ip.addr==10.3.1.1

显示在IP源地址字段或IP目的地址字段包含10.3.1.1的帧。

  • 例如:!ip.addr==10.3.1.1

显示除了在IP源地址字段或IP目的地址字段包含10.3.1.1以外的帧。

  • 例如:ipv6.addr==2406:da00:ff00::6b16:f02d

显示以2406:da00:ff00::6b16:f02d为源地址或目的地址的帧

  • 例如:ip.src==10.3.1.1

显示所有来自10.3.1.1的数据流。

  • 例如:ip.dst==10.3.1.1

显示所有发往10.3.1.1的数据流

  • 例如:ip.host==www.wireshark.org

显示所有解析为www.wireshark.org的IP地址。

按照某一IP地址范围过滤报文

可以使用>或<比较运算符或逻辑运算符&&查找某一地址范围内的报文。

  • 例如:ip.addr>10.3.0.1&&ip.addr<10.3.0.5

显示来自或发往10.3.0.2,10.3.0.3,10.3.0.4的数据流。

  • 例如:(ip.addr>=10.3.0.1&&ip.addr<=10.3.0.6)&&!ip.addr==10.3.0.3

显示来自或发往10.3.0.1,10.3.0.2,10.3.0.4,10.3.0.5,10.3.0.6的数据流,10.3.0.3排除在外。

  • ipv6.addr>=fe80::&&ipv6.addr

显示IPv6地址从0xfe80到0xfec0开头的数据流。

按照某一IP子网过滤报文

可以通过ip.addr字段名定义一个子网。这种格式使用IP地址后跟斜杠以及一个后缀,表明IP地址中定义的网络部分的比特数。

  • 例如:ip.addr==10.3.0.0/16

显示在IP源地址或目的地址字段以10.3开头的数据流。

  • 例如:ip.addr==10.3.0.0/16 && !ip.addr==10.3.1.1

显示除了10.3.1.1以外,在IP源地址或目的地址字段以10.3开头的数据流。

  • 例如:!ip.addr==10.3.0.0/16 && !ip.addr==10.2.0.0/16

显示所有数据流,除了在IP源地址或目的地址字段以10.3和10.2开头的数据流.

使用右键|作为过滤条件

如下图所示:在某一帧的Packet Details面板,扩展HTTP部分,右键Request URI一行,选择Apply as Filter | Selected

Wireshark会创建合适的显示过滤条件(http.request.rui==”/”)并应用于抓包文件。之后过滤得到2个报文,显示用户从两个不同的IP地址访问主页内容,如下图所示。

如果你想排除这类HTTP请求,只要在过滤条件前加!或not。你可以通过右键GET请求并选择Apply as Filter | Not Selected。

not http.request.uri==”/”

如果你感兴趣的是其余HTTP GET请求,可对上述过滤条件扩展:定位在一个HTTP GET请求报文,扩展HTTP部分,右键GET并选择Apply as Filter,这一次选择and Selected选项。之后,显示过滤器显示如下:

(not http.request.uri==”/”)&&(http.request.method==“GET”)。

现在可以看到除了default page request(/)之外的所有HTTP GET请求。

过滤单个TCP或UDP会话

当你想要观察客户端应用于服务器进程之间的通讯,你需要查找的是一个“会话“。会话是基于客户端应用和服务器进程的IP地址和端口号。通常抓包文件中会包含数百个会话,了解如何快速定位及过滤无疑是很有帮助的。

以下两种常用方式可从抓包文件中提取单一TCP或UDP会话:

  • 通过在Packet List面板右键一个TCP或UDP报文并选择Conversation Filter | [TCP|UDP].
  • 通过在Packet List面板右键一个TCP或UDP报文并选择Follow [TCP|UDP] Stream

右键选择Conversation Filter

通过在Packet List面板右键一个TCP或UDP报文并选择Conversation Filter | TCP,如下图所示:

Wireshark对数据流创建并应用以下过滤条件:

(ip.addr eq 24.6.173.220 and ip.addr eq 184.84.222.48) and (tcp.port eq 19953 and tcp.port eq 80)。

同样的方法可应用于基于IP地址,以太网地址,UDP地址/端口号结合的会话。

右键选择Follow a Stream

要查看应用命令以及会话中的交换数据,通过在Packet List面板右键一个TCP或UDP报文并选择Follow [TCP|UDP] Stream,如下图所示。如果选择Follow UDP Stream,显示过滤条件会基于IP地址和端口号。如果选择Follow TCP Stream, 显示过滤条件会基于TCP Stream Index number。

错误的用法导致不work

错误:ip.addr != 10.2.2.2

显示在IP源地址IP目的地址不包含10.2.2.2的报文。只要在源或目的IP地址不为10.2.2.2,报文就会被显示出来。这时隐含的会导致实际上并未过滤任何报文。

正确:!ip.addr == 10.2.2.2

显示IP源地址和IP目的地址都不包含10.2.2.2的报文。

错误:!tcp.flags.syn==1

显示所有不含TCP SYN bit设置为1的报文。其他协议报文,必须UDP和ARP报文也符合这一过滤条件,因为它们的TCP SYN bit没有设置为1。

正确:tcp.flags.syn!=1

只显示包含SYN设置为0的TCP报文。

小贴士:

当你知道只有一个字段符合你的过滤字段名的时候,不要害怕使用!=运算符。有时,这是最好用的过滤运算符。

时间: 2024-09-30 10:36:35

一站式学习Wireshark第十章的相关文章

一站式学习Wireshark(一):Wireshark基本用法 | 快课网

body { font-family: "Microsoft YaHei UI","Microsoft YaHei",SimSun,"Segoe UI",Tahoma,Helvetica,Sans-Serif,"Microsoft YaHei", Georgia,Helvetica,Arial,sans-serif,宋体, PMingLiU,serif; font-size: 10.5pt; line-height: 1.5;

一站式学习Wireshark(四):网络性能排查之TCP重传与重复ACK

作为网络管理员,很多时间必然会耗费在修复慢速服务器和其他终端.但用户感到网络运行缓慢并不意味着就是网络问题. 解决网络性能问题,首先从TCP错误恢复功能(TCP重传与重复ACK)和流控功能说起.之后阐述如何发现网络慢速之源.最后,对网络各组成部分上的数据流进行概况分析.这几张内容将会帮助读者识别,诊断,以及排查慢速网络. 更多信息接下来的内容,较多是黑白图片了.虽然看起来有点不爽,但还是很值得一看. TCP错误恢复功能: TCP的错误恢复功能是定位,诊断及修复网络延时的最佳工具.延时可以在单程也

一站式学习Wireshark(五):TCP窗口与拥塞处理

TCP通过滑动窗口机制检测丢包,并在丢包发生时调整数据传输速率.滑动窗口机制利用数据接收端的接收窗口来控制数据流. 接收窗口值由数据接收端指定,以字节数形式存储于TCP报文头,并告知传输设备有多少数据将会存储在TCP缓冲区.缓冲区就是数据暂时放置的地方,直至传递至应用层协议等待处理.因此,发送端每次只能发送Window Size字段指定的数据量.为了使发送端继续传送数据,接收端必须发送确认信息:之前的数据接收到了.同时必须对占用缓冲区的数据进行处理以释放缓存空间.下图显示了接收窗口是如何工作的:

一站式学习Wireshark(三):应用Wireshark IO图形工具分析数据流

基本IO Graphs: IO graphs是一个非常好用的工具.基本的Wireshark IO graph会显示抓包文件中的整体流量情况,通常是以每秒为单位(报文数或字节数).默认X轴时间间隔是1秒,Y轴是每一时间间隔的报文数.如果想要查看每秒bit数或byte数,点击“Unit”,在“Y Axis”下拉列表中选择想要查看的内容.这是一种基本的应用,对于查看流量中的波峰/波谷很有帮助.要进一步查看,点击图形中的任意点就会看到报文的细节. 为了讲解方便,点击示例报文包,或用自己的wireshar

一站式学习Wireshark(二):应用Wireshark观察基本网络协议

TCP: TCP/IP通过三次握手建立一个连接.这一过程中的三种报文是:SYN,SYN/ACK,ACK. 第一步是找到PC发送到网络服务器的第一个SYN报文,这标识了TCP三次握手的开始. 如果你找不到第一个SYN报文,选择Edit -> Find Packet菜单选项.选择Display Filter,输入过滤条件:tcp.flags,这时会看到一个flag列表用于选择.选择合适的flag,tcp.flags.syn并且加上==1.点击Find,之后trace中的第一个SYN报文就会高亮出来了

一站式学习Wireshark(八):应用Wireshark过滤条件抓取特定数据流

应用抓包过滤,选择Capture | Options,扩展窗口查看到Capture Filter栏.双击选定的接口,如下图所示,弹出Edit Interface Settints窗口. 下图显示了Edit Interface Settings窗口,这里可以设置抓包过滤条件.如果你确知抓包过滤条件的语法,直接在Capture Filter区域输入.在输入错误时,Wireshark通过红色背景区域表明无法处理过滤条件.最有可能的情况是,过滤条件中含有输入错误,或是使用了display filter的

一站式学习Wireshark(七):Statistics统计工具功能详解与应用

Wireshark一个强大的功能在于它的统计工具.使用Wireshark的时候,我们有各种类型的工具可供选择,从简单的如显示终端节点和会话到复杂的如Flow和IO图表.本文将介绍基本网络统计工具.包括:捕捉文件摘要(Summary),捕捉包的层次结构(Protocol Hirarchy), 会话(Conversations), 终端节点(Endpoints), HTTP. 更多信息 Summary: 从statistics菜单,选择Summary: 如下图的截屏所示,你会看到: File: 捕捉

一站式学习Wireshark(一):Wireshark基本用法

按照国际惯例,从最基本的说起. 抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包.例如,如果想要在无线网络上抓取流量,点击无线接口.点击Capture Options可以配置高级属性,但现在无此必要. 点击接口名称之后,就可以看到实时接收的报文.Wireshark会捕捉系统发送和接收的每一个报文.如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文. 上端面板每一行对应一个网络报文,默认显示报文接收时间(

一站式学习Wireshark第五章

TCP通过滑动窗口机制检测丢包,并在丢包发生时调整数据传输速率.滑动窗口机制利用数据接收端的接收窗口来控制数据流. 接收窗口值由数据接收端指定,以字节数形式存储于TCP报文头,并告知传输设备有多少数据将会存储在TCP缓冲区.缓冲区就是数据暂时放置的地方,直至传递至应用层协议等待处理.因此,发送端每次只能发送Window Size字段指定的数据量.为了使发送端继续传送数据,接收端必须发送确认信息:之前的数据接收到了.同时必须对占用缓冲区的数据进行处理以释放缓存空间.下图显示了接收窗口是如何工作的: