wireshark在分析网络协议的过程中,分为捕获过滤和显示过滤两种操作,下面简单介绍下常用的捕获和过滤规则。

wireshark常用捕获过滤规则

捕获单个ip地址的数据

  • host 10.3.1.1 : 捕获到达/来自 10.3.1.1 主机的数据
  • not host 10.3.1.1 : 捕获除了 到达/来自 10.3.1.1 主机的数据
  • src host 10.3.1.1 : 捕获来自 10.3.1.1 主机的数据
  • dst host 10.3.1.1 : 捕获发送给 10.3.1.1 主机的数据
  • host 10.3.1.1 or host 10.3.1.2 : 捕获到达/发送给 10.3.1.1 主机上的数据和到达/发送给 10.3.1.2 主机上的数据

捕获指定端口号的数据

  • port 53 : 捕获到达/来自端口号为53的UDP/TCP数据(典型的DNS数据)
  • not port 53 : 捕获除到达/来自端口号为53的UDP/TCP数据
  • port 80 : 捕获到达/来自端口号为80的UDP/TCP数据(典型的http数据)
  • udp port 67 : 捕获到达/来自端口号为67的UDP数据(典型的DHCP数据)
  • tcp port 21 : 捕获到达/来自端口号为21的tcp数据(典型的FTP命令行)
  • portrange 1-80 : 捕获到达/来自1~80端口号的UDP/TCP数据
  • tcp portrange 1-80:捕获到达/来自 1~80端口号的TCP数据
  • src port 70 : 捕获来自端口号为70的TCP/UDP数据
  • dst port 70:捕获发送给端口号为70 的tcp/udp数据

结合ip和端口进行捕获

  • host 10.3.1.1 and port 80 : 捕获到达/来自端口号为80并且是到达/来自10.3.1.1主机的UDP/TCP数据。
  • host 10.3.1.1 and not port 80 : 捕获到达/来自10.3.1.1主机的并且端口号不是80的数据。

提示:尽量不要使用捕获过滤器,因为不当的捕获过滤规则可能会丢失数据,可以捕获所有数据,然后使用显示过滤过滤需要显示的数据。

wireshark常用显示过滤规则

根据协议进行过滤

  • arp:显示所有arp信息。
  • ip:显示所有IPv4流量。
  • ipv6:显示所有IPv6流量。
  • tcp:显示所有tcp流量数据。

根据应用进行过滤

  • bootp:显示所有DHCP流量
  • dns:显示所有DNS流量
  • tftp:显示所有TFTP(简单文件传输协议)流量
  • http:显示所有HTTP命令、响应和数据传输包,但是不显示TCP握手包、TCP确认包和TCP断开连接包。
  • icmp:显示所有ICMP流量。

根据字段进行过滤

http.host == “13.1.1.1” :显示发送/到达主句13.1.1.1的所有http请求。

http.request.method==”GET”:显示get方式的http请求。 

http.response.code==302 : 过滤http响应状态码为302的数据包

http.request.uri==”/online/setpoint”:过滤请求的uri,取值是域名后的部分

http.request.full_uri==”http://task.browser.360.cn/online/setpoint” : 过滤含域名的整个url则需要使用http.request.full_uri

http.request.full_uri contains “xmcdn”:过滤请求的url中包含指定字符串的

ip.dst==192.168.101.8:显示目的地址为192.168.101.8的包,

ip.src==192.168.101.8:显示192.168.101.8发出的包

其他

选择捕获接口:比如我们想捕获手机上某个app发送的数据,这时我们可以使用电脑开启wifi,然后手机连接,使用wireshark捕获wifi接口上传输的数据即可。

捕获/选项(Ctrl+K)即可看到接口列表。选择自己想要捕获的接口即可。如下图

QQ截图20160621134737快速确定字段名:在上面我介绍了部分根据字段过滤,不过没有介绍全部的字段,如果我们想确定某一个字段怎么做呢?如下图,当选中一个数据包,展开点击具体字段,下面会显示出字段名,下图中选中了http协议中的Source Post,界面最下面标题栏里面显示的字段为:tcp.srcport

QQ截图20160621135030

 

最后修改日期: 2019年8月19日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。