A. wireshark榪囨護瑙勫垯鏈夊摢浜
wireshark榪囨護瑙勫垯錛
涓銆両P榪囨護錛氬寘鎷鏉ユ簮IP鎴栬呯洰鏍嘔P絳変簬鏌愪釜IP
姣斿傦細ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 鏄劇ず鏉ユ簮IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 鏄劇ず鐩鏍嘔P
浜屻佺鍙h繃婊わ細
姣斿傦細tcp.port eq 80 // 涓嶇$鍙f槸鏉ユ簮鐨勮繕鏄鐩鏍囩殑閮芥樉紺
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 鍙鏄総cp鍗忚鐨勭洰鏍囩鍙80
tcp.srcport == 80 // 鍙鏄総cp鍗忚鐨勬潵婧愮鍙80
榪囨護絝鍙h寖鍥
tcp.port >= 1 and tcp.port 涓夈佸崗璁榪囨護錛歵cp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
絳夌瓑
鎺掗櫎ssl鍖咃紝濡!ssl 鎴栬 not ssl
鍥涖佸寘闀垮害榪囨護錛
姣斿傦細
udp.length == 26 榪欎釜闀垮害鏄鎸噓dp鏈韜鍥哄畾闀垮害8鍔犱笂udp涓嬮潰閭e潡鏁版嵁鍖呬箣鍜
tcp.len >= 7 鎸囩殑鏄痠p鏁版嵁鍖(tcp涓嬮潰閭e潡鏁版嵁),涓嶅寘鎷瑃cp鏈韜
ip.len == 94 闄や簡浠ュお緗戝ご鍥哄畾闀垮害14,鍏跺畠閮界畻鏄痠p.len,鍗充粠ip鏈韜鍒版渶鍚
frame.len == 119 鏁翠釜鏁版嵁鍖呴暱搴,浠巈th寮濮嬪埌鏈鍚
浜斻乭ttp妯″紡榪囨護錛
渚嬪瓙:
http.request.method == 鈥淕ET鈥
http.request.method == 鈥淧OST鈥
http.request.uri == 鈥/img/logo-e.gif鈥
http contains 鈥淕ET鈥
http contains 鈥淗TTP/1.鈥
// GET鍖呭寘鍚鏌愬ご瀛楁
http.request.method == 鈥淕ET鈥 && http contains 鈥淗ost: 鈥
http.request.method == 鈥淕ET鈥 && http contains 鈥淯ser-Agent: 鈥
// POST鍖呭寘鍚鏌愬ご瀛楁
http.request.method == 鈥淧OST鈥 && http contains 鈥淗ost: 鈥
http.request.method == 鈥淧OST鈥 && http contains 鈥淯ser-Agent: 鈥
// 鍝嶅簲鍖呭寘鍚鏌愬ご瀛楁
http contains 鈥淗TTP/1.1 200 OK鈥 && http contains 鈥淐ontent-Type: 鈥
http contains 鈥淗TTP/1.0 200 OK鈥 && http contains 鈥淐ontent-Type: 鈥濆叚銆佽繛鎺ョ and / or
涓冦佽〃杈懼紡錛!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
鍏銆乪xpert.message鏄鐢ㄦ潵瀵筰nfo淇℃伅榪囨護錛屼富瑕侀厤鍚坈ontains鏉ヤ嬌鐢
B. Wireshark抓包的過濾
Wireshark工具在抓取數據包後,面對大量信息,如何進行有效的過濾篩選呢?以下為您介紹三種過濾方法,幫助您更高效地處理數據。
方法一:基於IP地址的過濾
在Wireshark的Filter功能中,您可以精確地篩選出目標IP地址的數據包。例如,要過濾目的地址為192.168.101.8的包,只需輸入「ip.dst==192.168.101.8」即可;若要過濾源地址為1.1.1.1的包,則輸入「ip.src==1.1.1.1」。
方法二:基於埠的過濾
埠過濾同樣高效。例如,若要過濾源埠或目的埠為80的包,可以輸入「tcp.port==80」;若僅需過濾目的埠為80的包,則輸入「tcp.dstport==80」;若要過濾源埠為80的包,則輸入「tcp.srcport==80」。
方法三:基於協議的過濾
在Wireshark的Filter界面中,輸入協議名稱即可篩選特定協議的數據包。例如,要過濾TCP協議的包,直接輸入「tcp」即可。
C. wireshark怎麼過濾埠
Wireshark過濾埠的方法:
在Wireshark中,你可以通過過濾器功能來查看特定埠的通信數據。下面是詳細步驟和解釋:
1. 打開Wireshark軟體,並捕獲或載入已有的網路數據包。
2. 在主界面的工具欄中,找到並點擊“顯示過濾器”選項。
3. 在彈出的過濾器窗口中,你可以通過輸入特定的埠號來過濾數據包。例如,如果你想查看埠80的數據包,可以輸入“port 80”。這里的“port”關鍵字表示你想查看與特定埠相關的數據包。如果你想看雙向通信的埠,可以使用“port”關鍵字後跟兩個埠號,如“port 80 and port 443”。如果只希望看到發送到特定埠或從特定埠發送的數據包,可以使用“dstport”或“srcport”關鍵字。例如,“dstport 80”表示過濾出所有目標埠為80的數據包。
4. 設置好過濾器後,點擊“應用”按鈕。此時,Wireshark將只顯示符合過濾條件的數據包,包括該埠的所有通信數據。
通過這種過濾方式,你可以快速定位到特定埠的網路活動,有助於分析和診斷網路問題。使用過濾器可以幫助你減少大量不相關的數據包信息,使你更專注於特定的通信數據流。這是Wireshark中非常實用的一個功能,特別是在處理大型網路數據包捕獲時。請注意,確保你的過濾器設置正確,以免錯過重要信息或產生誤判。使用Wireshark的過濾器功能需要一定的經驗和對網路協議的基本了解。