wireshark过滤协议Word文件下载.docx
《wireshark过滤协议Word文件下载.docx》由会员分享,可在线阅读,更多相关《wireshark过滤协议Word文件下载.docx(6页珍藏版)》请在冰点文库上搜索。
和"
not”都表示取反。
一、针对wireshark最常用的自然是针对ip地址的过滤。
其中有几种情况:
(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:
ip.src==192.168.0.1
(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
ip.dst==192.168.0.1
(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
ip.addr==192.168.0.1,或者ip.src==192.168.0.1orip.dst==192.168.0.1
(4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用"
!
即可。
(表达式)
二、针对协议的过滤
(1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
表达式为:
http
(2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
httportelnet(多种协议加上逻辑符号的组合即可)
(3)排除某种协议的数据包
notarp!
tcp
三、针对端口的过滤(视协议而定)
(1)捕获某一端口的数据包
tcp.port==80
(2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
udp.port>
=2048
四、针对长度和内容的过滤
(1)针对长度的过虑(这里的长度指定的是数据段的长度)
udp.length
(2)针对数据包内容的过滤
http.request.urimatches"
vipscu"
(匹配http请求中含有vipscu字段的请求信息)
通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。
以下是比较复杂的实例(来自wireshark图解教程):
tcpdstport3128
显示目的tcp端口为3128的封包。
ipsrchost10.1.1.1
显示来源ip地址为10.1.1.1的封包。
host10.1.2.3
显示目的或来源ip地址为10.1.2.3的封包。
srcportrange2000-2500
显示来源为udp或tcp,并且端口号在2000至2500范围内的封包。
notimcp
显示除了icmp以外的所有封包。
(icmp通常被ping工具使用)
srchost10.7(wireshark,过滤协议).2.12andnotdstnet10.200.0.0/16
显示来源ip地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。
(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8
显示来源ip为10.4.1.12或者来源网络为10.6.0.0/16,目的地tcp端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
篇二:
【实用技巧】wireshark过滤抓包与过滤查看
在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。
网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。
像
omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。
废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。
目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。
下面是wireshark的1.6版本的界面图:
(看不清图,请点击放大)
点击图中那个按钮,进入抓包网卡选择,然后点击option进入抓包条件设置,就会打开如下图的对话框
如果想抓无线网卡的数据吧,就把图中那个勾去掉,不然会报错。
点击captureFilter进入过滤抓包设置(也可以在这个按钮旁边,那个白色框直接写过滤语法,语法不完成或无法错误,会变成粉红色的框,正确完整的会变成浅绿色),Filtername是过滤条件命名,Filterstring是过滤的语法定义,设置好了,点击new会把你设置好的加入到过滤条件区域,下次要用的时候,直接选者你定义这个过滤条件名。
下面是wireshark的1.7版本的界面图:
界面有所变化,同样是点击option进入过滤编辑,如下图:
如果,左边的双击左边网卡可以直接进入过滤抓包设置对话框,中间是点击option后进入的对话框,再双击网卡进入下面的过滤抓包设置对话框,后面就跟wireshark的1.6版本一样了。
下面聊聊过滤抓包语法,Filterstring中怎么写语法。
大家可以看看captureFilter原来已有的怎么定义的。
要弄清楚并设置好这个过滤条件的设置,得弄清楚tcp/ip模型中每层协议原理,以及数据包结构中每个比特的意思。
上面这是抓得aRp,在数据链路层来看的,aRp是上层协议,在ethernet包结构表示的协议类型代码是0x0806,如果站在网络层来说(aRp协议有时又称为2.5层的协议,靠近数据链路层),我们的过滤语法可以这样写:
这两个是等价的,抓得都是aRp包。
或许有的朋友这里不太明白,建议去看《tcp/ip协议族》《tcp/ip协议详卷》等等原来书籍,先理解数据包结构。
从这个设置来看,可以看出wireshark的过滤抓包多么深入了。
现在我简单讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filterstring该填写什么东西)。
组合过滤语法常使用的连接:
过滤语法1and过滤语法2只有同时满足语法1和2数据才会被捕获
过滤语法1or过滤语法2只有满足语法1或者2任何一个都会被捕获
not过滤语法除该语法外的所有数据包都捕获
常用的过滤语法说明:
etherhostd0:
dF:
9a:
87:
57:
9e定义捕获mac为d0:
9e的数据包,不管这个mac地址是目标mac还是源mac,都捕获这个数据包
etherproto0x0806定义了所有数据包中只要ethernet协议类型是0x0806的数据包进行捕获。
如果我们用and来组合这两个语法:
9eandetherproto0x0806(该语法等价于etherhostd0:
9eandarp)
表示我们只针对mac为d0:
9e的aRp包进行捕获。
arp该语法只捕获所有的arp数据包
ip该语法只捕获数据包中有ip头部的包。
(这个语法可以用etherproto0x0800,因为ethernet协议中得0x0800表示ip)
host192.168.1.1该语法只捕获ip头部中只要有192.168.1.1这个地址的数据,不管它是源ip地址还是目标ip地址。
tcp该语法只捕获所有是tcp的数据包
tcpport23该语法只捕获tcp端口号是23的数据包,不管源端口还是目标端口。
udp该语法只捕获所有是udp的数据包
udpport53该语法只捕获udp端口号是23的数据包,不管源端口还是目标端口。
port68该语法只捕获端口为68的数据,不管是tcp还是udp,不管该端口号是源端口,还是目标端口。
以上是常用的过滤抓包语法,灵活组合,就可以定位抓包。
下面简单举几个例子。
篇三:
notimcp
srchost10.7.2.12andnotdstnet10.200.0.0/16
升级会员 