wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)
1. 关键字
“与”:“eq” 和 “==”等同,可以使用 “and” 表示并且,
“或”:“or”表示或者。
“非”:“!" 和 "not” 都表示取反。
多组条件联合过滤数据包的命令,就是通过每个单个的条件命令与关键字“与或非”的组合实现的。
2. 针对ip的过滤
针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:
(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:ip.src == 192.168.0.1
(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。
表达式为:ip.dst == 192.168.0.1
(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
表达式为:ip.addr == 192.168.0.1,本表达式的等价表达式为
ip.src == 192.168.0.1or ip.dst == 192.168.0.1
(4)要排除以上的数据包,我们只需要将其用括号囊括,然后使用 "!" 即可。
表达式为:!(表达式)
3. 针对协议的过滤
(1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
表达式为:http
问题:是否区分大小写?答:区分,只能为小写
(2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
(3)排除某种协议的数据包
表达式为:not arp 或者 !tcp
4. 针对端口的过滤(视传输协议而定)
(1)捕获某一端口的数据包
表达式为:tcp.port == 80 (以tcp协议为例)
(2)捕获多端口的数据包,可以使用and来连接,下面是捕获高于某端口的表达式
表达式为:udp.port >= 2048 (以udp协议为例)
5. 针对长度和内容的过滤
(1)针对长度的过虑(这里的长度指定的是数据段的长度)
表达式为:udp.length < 30 http.content_length <=20
(2)针对数据包内容的过滤
表达式为:http.request.urimatches "vipscu" (匹配http请求中含有vipscu字段的请求信息)
6. 进阶
通过以上的最基本的功能的学习,如果随意发挥,可以灵活应用,就基本上算是入门了。以下是比较复杂的实例(来自wireshark图解教程):
tcp dst port3128
显示目的TCP端口为3128的封包。
ip src host10.1.1.1
显示来源IP地址为10.1.1.1的封包。
host 10.1.2.3
显示目的或来源IP地址为10.1.2.3的封包。
src portrange2000-2500
显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
not imcp
显示除了icmp以外的所有封包。(icmp通常被ping工具使用)
src host10.7.2.12 and not dst net 10.200.0.0/16
显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。
(src host10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net10.0.0.0/8
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
