网络百科 百科 wireshark过滤规则协议(wireshark常见过滤写法)

wireshark过滤规则协议(wireshark常见过滤写法)

发布: 2024-01-09 04:16:36 发布人: hao333

Wireshark中文版作为一款网络封装软件,可以实时检测网络数据,传输数据包。用户可以通过浏览Wireshark中文版清楚地了解网络数据。

其丰富的功能使网络管理员、网络安全程序员甚至普通人都能在生活和工作中使用中文版的Wireshark。网络管理员可以通过它监控网络漏洞并修复,网络安全工程师可以通过它检查恶意程序是否残留在服务器中。

普通人也可以通过中文版的Wireshark了解网络协议。

wireshark过滤规则协议(wireshark常见过滤写法)

1.过滤HTTP邮件

**http.host==6san.com

http.host contains 6san.com

//过滤指定域名的http数据包,其中主机值不一定是请求中的域名。

http.response.code==302

//过滤http响应状态码为302的数据包。

http.response==1

//过滤所有http响应数据包。

http.request==1

//过滤所有http请求。好像也可以用http.request。

http.request.method==POST

//wireshark过滤所有请求方法为POST的http请求数据包,注意POST是大写的。

http.cookie contains guid

//过滤包含指定cookie的http数据包。

http。请求。uri=="/online/setpoint "

//过滤请求的uri,值为域名之后的部分。

http。请求。full _ uri==" http://task.browser.360.cn/online/setpoint"

//用域名过滤整个url,需要使用http.request.full_uri。

http.server包含" nginx "

//过滤http头中服务器字段带有nginx字符的数据包。

http.content_type=="text/html "

//过滤http响应,发布content_type为text/html的数据包,即根据文件类型过滤http数据包。

http.content_encoding=="gzip "

//The encoding of the filtered content is the hypertext transfer protocol (abbreviation of Hyper Text Transport Protocol) package of gzip.

http。transfer _ encoding==" chunked "

//Filter according to transmission code

http.content_length==279

http。content _ length _ header==" 279 "

//根据content_length的值进行过滤。

http.server

//过滤http头中包含服务器字段的所有数据包。

HTTP。请求。版本==" HTTP/1.1 "

//过滤http/1.1版本的HTTP数据包,包括请求和响应。

http.response.phrase=="OK "

//过滤http响应中的短语**。

第二,过滤端口

Tcp.port eq 80 //显示源端口和目的端口为80的消息。

tcp.port==80

tcp.port==80 or udp.port==443

Tcp.dstport==80 //只显示Tcp协议的目标端口80。

Tcp.srcport==80 //只显示Tcp协议的源端口80。

Tcp.port=1和tcp.port=80 //过滤器端口范围。

第三,过滤协议

tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

oicq

bootp

第四,过滤mac地址

Eth.dst==A0:00:00:04:C5:84 //过滤目标mac。

Eth.src eq A0:00:00:04:C5:84 //Filter the source, man.

eth.dst==A0:00:00:04:C5:84

eth.dst==A0-00-00-04-C5-84

Eth.addr eq A0:00:00:04:C5:84 //如果源MAC和目标MAC都等于A0:00:00:04:C5:84,则进行过滤。

动词(verb的缩写)比较运算符

Lt less than: less than

Gt大于

Ne:等于

六、消息长度过滤

Udp.length==100 //这个长度是指Udp本身的固定长度8加上udp下面的包的总和。

Tcp.len=7指的是ip包(Tcp下面的数据),不包括tcp本身。

Ip.len==94除了以太网头的固定长度为14,其他都是Ip。len,也就是从IP本身到最后。

Frame.len==119整个数据包的长度,从eth到结尾。

七、与或匹配

并签署联盟

或符号或

tcp and tcp.port==80

tcp or udp

八、匹配tcp参数

Tcp.flags显示包含Tcp标志的数据包。

tcp.flags.syn==0x02 显示包含TCP SYN标志的封包。 tcp.window_size==0 tcp.flags.reset !=1

九、过滤报文内容

tcp[20] 表示从20开始,取1个字符

tcp[20:]表示从20开始,取1个字符以上

tcp[20:8]表示从20开始,取8个字符

tcp[offset,n]

eth.addr[0:3]==00:06:5B

udp[8]==14 (14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包

udp[8:2]==14:05 可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。

(相当于udp[8]==14 and udp[9]==05,1405是0x1405)

udp[8:3]==22:00:f7 但是不可以udp[8:3]==2200f7

udp[8:4]==00:04:00:2a,匹配payload的前4个字节0x0004002a

而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配

以上介绍的内容就是关于Wireshark的过滤规则的相关介绍,不知道大家学会了没有,如果你也遇到了这样的问题的话可以按照小编的方法自己尝试一下,希望可以帮助大家解决问题,

谢谢!了解更多的教程资讯亲关注我们天地网站~~~~~

相关文章