zoukankan      html  css  js  c++  java
  • Wireshark

    使用 Wireshark 的默认设置抓包时,会得到大量的冗余信息,以至于很难找到自己所需的封包。使用过滤器可以帮助我们在庞杂的结果中快速地找到我们所需的封包。过滤器分为两种:捕捉过滤器和显示过滤器。

    捕捉过滤器用于决定将什么样的信息记录在捕捉结果中,需要在抓包前设置。捕捉过滤器是数据经过的第一层筛选,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

    显示过滤器是一种更为强大复杂的过滤器,它用于在捕捉结果中进行详细查找,帮助我们在日志文件中迅速地定位我们所需的封包。

    捕捉过滤器

    语法

    protocol[ direction][ host(s)][ value][ logical_operator other_expression]

    操作

    点击 Capture 菜单栏,选择 Options...,打开 Capture Options 窗口编辑过滤表达式。

    实例

    a) 显示目的 TCP 端口为 3128 的封包。

    tcp dst port 3128

    b) 显示来源 IP 地址为 10.1.1.1 的封包。

    ip src host 10.1.1.1

    c) 显示目的或来源 IP 地址为 10.1.2.3 的封包。

    host 10.1.2.3

    d) 显示来源为 UDP 或 TCP ,并且端口号在 2000 至 2500 范围内的封包。

    src portrange 2000-2500

    e) 显示除了 ICMP 以外的所有封包。

    not imcp

    f) 显示来源 IP 地址为 10.7.2.12 ,但目的地不是 10.200.0.16 的封包。

    src host 10.7.2.12 and not dst net 10.200.0.16

    显示过滤器

    语法

    protocol[.str1][.Str2][ comparison_operator value][ logical_operator other_expression]

    操作

    1. 编辑位置:

    2. 可以点击 Expression... 按钮,打开 Filter Expression 窗口编辑过滤表达式:

    实例

    a) 显示 TCP 封包。

    tcp

    b) 显示除 ICMP 外的封包。

    not icmp

    c) 显示来源 IP 地址为 93.184.216.34 的封包。

    ip.src == 93.184.216.34

    d) 显示目的 IP 地址为 93.184.216.34 且目的 TCP 端口为 445 的封包。

     ip.dst == 10.6.0.30 and tcp.dstport == 445

    e) 显示来源或目的 IP 地址为 10.1.1.1 的 HTTP 封包。

    ip.addr == 93.184.216.34 and http

    f) 显示 host 首部包含 "example.com" 的 HTTP 封包。

    http.host contains "example.com"

    h) 显示数据帧长度不大于 1024 字节的封包。

    frame.len <= 1024
  • 相关阅读:
    华为为什么再发布2016年就已经对外露脸甚至商用的欧拉操作系统。
    更安全,仅允许当前用户运行脚本法:vscode运行python时提示无法加载文件xxx.venvScriptsactivate.ps1
    ubuntu下安装odoo 14.0框架
    安利: Swagger工具, 一个REST APIs文档生成工具
    关注Brython 项目,在浏览器中运行python,部分替代javascript
    2021年最火的前端框架
    2021 最受欢迎的前端 八 个 UI 框架
    取代os.path的模块pathlib
    Java中Int转byte分析
    基于Java的时间转换:Date、Timestamp和String时间转化
  • 原文地址:https://www.cnblogs.com/huey/p/4821666.html
Copyright © 2011-2022 走看看