A. wireshark杩囨护瑙勫垯鏈夊摢浜
wireshark杩囨护瑙勫垯锛
涓銆両P杩囨护锛氬寘鎷鏉ユ簮IP鎴栬呯洰鏍嘔P绛変簬鏌愪釜IP
姣斿傦細ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 鏄剧ず鏉ユ簮IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 鏄剧ず鐩鏍嘔P
浜屻佺鍙h繃婊わ細
姣斿傦細tcp.port eq 80 // 涓嶇$鍙f槸鏉ユ簮鐨勮繕鏄鐩鏍囩殑閮芥樉绀
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 鍙鏄総cp鍗忚鐨勭洰鏍囩鍙80
tcp.srcport == 80 // 鍙鏄総cp鍗忚鐨勬潵婧愮鍙80
杩囨护绔鍙h寖鍥
tcp.port >= 1 and tcp.port 涓夈佸崗璁杩囨护锛歵cp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
绛夌瓑
鎺掗櫎ssl鍖咃紝濡!ssl 鎴栬 not ssl
鍥涖佸寘闀垮害杩囨护锛
姣斿傦細
udp.length == 26 杩欎釜闀垮害鏄鎸噓dp鏈韬鍥哄畾闀垮害8鍔犱笂udp涓嬮潰閭e潡鏁版嵁鍖呬箣鍜
tcp.len >= 7 鎸囩殑鏄痠p鏁版嵁鍖(tcp涓嬮潰閭e潡鏁版嵁),涓嶅寘鎷瑃cp鏈韬
ip.len == 94 闄や簡浠ュお缃戝ご鍥哄畾闀垮害14,鍏跺畠閮界畻鏄痠p.len,鍗充粠ip鏈韬鍒版渶鍚
frame.len == 119 鏁翠釜鏁版嵁鍖呴暱搴,浠巈th寮濮嬪埌鏈鍚
浜斻乭ttp妯″紡杩囨护锛
渚嬪瓙:
http.request.method == 鈥淕ET鈥
http.request.method == 鈥淧OST鈥
http.request.uri == 鈥/img/logo-e.gif鈥
http contains 鈥淕ET鈥
http contains 鈥淗TTP/1.鈥
// GET鍖呭寘鍚鏌愬ご瀛楁
http.request.method == 鈥淕ET鈥 && http contains 鈥淗ost: 鈥
http.request.method == 鈥淕ET鈥 && http contains 鈥淯ser-Agent: 鈥
// POST鍖呭寘鍚鏌愬ご瀛楁
http.request.method == 鈥淧OST鈥 && http contains 鈥淗ost: 鈥
http.request.method == 鈥淧OST鈥 && http contains 鈥淯ser-Agent: 鈥
// 鍝嶅簲鍖呭寘鍚鏌愬ご瀛楁
http contains 鈥淗TTP/1.1 200 OK鈥 && http contains 鈥淐ontent-Type: 鈥
http contains 鈥淗TTP/1.0 200 OK鈥 && http contains 鈥淐ontent-Type: 鈥濆叚銆佽繛鎺ョ and / or
涓冦佽〃杈惧紡锛!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
鍏銆乪xpert.message鏄鐢ㄦ潵瀵筰nfo淇℃伅杩囨护锛屼富瑕侀厤鍚坈ontains鏉ヤ娇鐢
B. Wireshark抓包的过滤
Wireshark工具在抓取数据包后,面对大量信息,如何进行有效的过滤筛选呢?以下为您介绍三种过滤方法,帮助您更高效地处理数据。
方法一:基于IP地址的过滤
在Wireshark的Filter功能中,您可以精确地筛选出目标IP地址的数据包。例如,要过滤目的地址为192.168.101.8的包,只需输入“ip.dst==192.168.101.8”即可;若要过滤源地址为1.1.1.1的包,则输入“ip.src==1.1.1.1”。
方法二:基于端口的过滤
端口过滤同样高效。例如,若要过滤源端口或目的端口为80的包,可以输入“tcp.port==80”;若仅需过滤目的端口为80的包,则输入“tcp.dstport==80”;若要过滤源端口为80的包,则输入“tcp.srcport==80”。
方法三:基于协议的过滤
在Wireshark的Filter界面中,输入协议名称即可筛选特定协议的数据包。例如,要过滤TCP协议的包,直接输入“tcp”即可。
C. wireshark怎么过滤端口
Wireshark过滤端口的方法:
在Wireshark中,你可以通过过滤器功能来查看特定端口的通信数据。下面是详细步骤和解释:
1. 打开Wireshark软件,并捕获或加载已有的网络数据包。
2. 在主界面的工具栏中,找到并点击“显示过滤器”选项。
3. 在弹出的过滤器窗口中,你可以通过输入特定的端口号来过滤数据包。例如,如果你想查看端口80的数据包,可以输入“port 80”。这里的“port”关键字表示你想查看与特定端口相关的数据包。如果你想看双向通信的端口,可以使用“port”关键字后跟两个端口号,如“port 80 and port 443”。如果只希望看到发送到特定端口或从特定端口发送的数据包,可以使用“dstport”或“srcport”关键字。例如,“dstport 80”表示过滤出所有目标端口为80的数据包。
4. 设置好过滤器后,点击“应用”按钮。此时,Wireshark将只显示符合过滤条件的数据包,包括该端口的所有通信数据。
通过这种过滤方式,你可以快速定位到特定端口的网络活动,有助于分析和诊断网络问题。使用过滤器可以帮助你减少大量不相关的数据包信息,使你更专注于特定的通信数据流。这是Wireshark中非常实用的一个功能,特别是在处理大型网络数据包捕获时。请注意,确保你的过滤器设置正确,以免错过重要信息或产生误判。使用Wireshark的过滤器功能需要一定的经验和对网络协议的基本了解。