相关文章推荐:
5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解
一、wireshark捕获过滤器简介
- wireshark与使用libcap/winpacp支持的其他抓包程序有相同的捕获筛选器语法,如tcpdump、windump、 analyzer 等抓包工具
- 捕获过滤器不是显示过滤器,这个一定要区分清楚,两个语法不同,捕获过滤器局限性很大,但是可以减少原始数据包的大小,显示过滤器则是隐藏数据包列表的某些数据包
- 在主窗口中,可以在接口列表上方和接口对话框中找到捕获过滤器。可以在数据包列表上方更改显示过滤器,如图所示
二、捕获过滤器常用10条讲解附实例
1.仅抓取和ip地址36.152.44.96(百度的地址)之间的通信
host 36.152.44.96
2.捕获一段ip地址的数据包
net 192.168.0.0/24
或者
net 192.168.0.0 mask 255.255.255.0
3.捕获指定目标地址或者源地址的数据包
# src 表示源
# dst 表示目标
dst host 36.152.44.96
#捕获目标是36.152.44.96 的数据包
src net 192.168.0.0/24
#捕获源是192.168.0.0/24段 的数据包
== 注意==:1和2 介绍的都可以在前面加上src和dst,指定源和目标。
4.仅捕获53(DNS使用53端口)流量
port 53
# 捕获dns数据包
5.捕获端口范围内的流量
(tcp[0:2] > 79 and tcp[0:2] < 81) or (tcp[2:2] > 22200 and tcp[2:2] < 122210)
6.抓取以太网的EAPOL的数据包
ether proto 0x888e
7.拒绝以太网帧进去“链路层返现协议多播”
not ether dst 01:80:c2:00:00:0e
8.不捕获组播包也不捕获广播包
not broadcast and not multicast
9.捕获IPV6所有节点流量
dst host ff02::1
10.捕获HTTP GET请求,
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
#This looks for the bytes 'G', 'E', 'T', and ' ' (hex values 47, 45, 54, and 20) just
after the TCP header. "tcp[12:1] & 0xf0) >> 2" figures out the TCP header length.
11.抓包
三、著名的漏洞流量抓取
- Blaster worm:
dst port 135 and tcp port 135 and ip[2:2]==48
- Welchia worm:
icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA
查找长度为92字节的icmp回显请求,并具有以4个字节的A(十六进制)开头的icmp有效负载。它是welchia蠕虫试图破坏系统之前的特征。
许多蠕虫尝试通过与端口135、445或1433上的其他主机联系来进行传播。此筛选器与特定的蠕虫无关,而是查找来自那些特定端口上本地网络的SYN数据包。请更改网络过滤器以反映您自己的网络。
dst port 135 or dst port 445 or dst port 1433 and tcp[tcpflags] & (tcp-syn) != 0 andtcp[tcpflags] & (tcp-ack) = 0 and src net 192.168.0.0/24
- Heartbleed Exploit:
tcp src port 443 and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4] = 0x18) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 1] = 0x03) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 2] < 0x04) and ((ip[2:2] - 4 * (ip[0] & 0x0F) - 4 * ((tcp[12] & 0xF0) >> 4) > 69))
四、捕获过滤器面试中常问的问题
- 怎么设置 只捕获SIP和RTP过滤器
捕获进出该端口的TCP和UDP流量(如果其中一个过滤器获得“解析错误”,请尝试使用5060而不是sip)。对于进出其他端口的SIP流量,使用该端口号而不是SIP。
在大多数情况下,RTP端口号是动态分配的。您可以使用以下内容,这些内容将捕获限制为UDP、源和目标端口、有效的RTP版本和小数据包。它将捕获与过滤器匹配的任何非RTP流量(例如DNS),但是它将捕获许多环境中的所有RTP数据包。
udp[1] & 1 != 1 && udp[3] & 1 != 1 && udp[8] & 0x80 == 0x80 && length < 250
- 捕获没有WLAN标记的流量
link[0] != 0x80
- 捕获I192.168. x.x范围内所有的原始流量
src net 192.168
- 捕获PPPOE流量
pppoes
pppoes and (host 192.168.0.0 and port 80)
- 捕获vlan流量
vlan
vlan and (host 192.168.0.0 and port 80)