软件世界网 购物 网址 三丰软件 | 小说 美女秀 图库大全 游戏 笑话 | 下载 开发知识库 新闻 开发 图片素材
多播视频美女直播
↓电视,电影,美女直播,迅雷资源↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
移动开发 架构设计 编程语言 Web前端 互联网
开发杂谈 系统运维 研发管理 数据库 云计算 Android开发资料
  软件世界网 -> 互联网 -> Wireshark网络分析实战笔记(一)抓包过滤器 -> 正文阅读

[互联网]Wireshark网络分析实战笔记(一)抓包过滤器

抓包过滤器

抓包过滤器和显示过滤器的区别:


1.抓包过滤器配置在抓包之前,wireshark只抓取抓包过滤器过滤的数据
2.显示过滤器配置在抓包后,wireshark已经抓取所有的数据包,显示过滤器让wireshark只显示想看的数据包

抓包过滤器的配置方法:


1.在主页面的...using this filter中输入表达式(点击文本框前面的黄色按钮会显示常用的表达式):
[img]http://img.blog.csdn.net/20160331222217358
2.打开capture interfaces选项,在capture filter for selected interfaces中输入表达式:
[img]http://img.blog.csdn.net/20160331222154249

Ethernet过滤器(第二层过滤器)


ether host <>   抓取以太网流量的源或目的MAC地址(比如:ether host 00:00:5e:00:53:00)
ether dst <>  抓取以太网流量的目的MAC地址
ether src<>  抓取以太网流量的源的MAC地址
ether broadcast  抓取以太网广播流量
ether multicast 抓取以太网多播流量
ether proto <>  所抓以太网流量的以太网协议类型编号(比如:ether proto 0x0806)
常见的以太网协议类型字段
0x0800 IP
0x0806 ARP
0x8137 Novell IPX
0x809b Apple Talk


关于以太网协议类型的详细介绍可以参看这篇博文:http://blog.csdn.net/fall221/article/details/47861335
以下两张图是一个ARP数据包和一个DNS数据包,它们的以太网协议类型字段分别是0x0806(ARP)和0x0800(IP):
[img]http://img.blog.csdn.net/20160401111423176
[img]http://img.blog.csdn.net/20160401111447536

vlan <>  只抓取指定VLAN的流量

主机和网络过滤器(第三层过滤器)


ip/ipv6  只抓取IPv4或IPv6的数据包
host <>  只抓取源于或发往所指定的主机名或IP地址的流量(比如:host 192.168.1.1)
dst host <>   只抓取发往所指定的主机名或IP地址的流量
src host <>  只抓取源于所指定的主机名或IP地址的流量
gateway <> 只抓穿过host的流量
net<>  只抓取源于或发往标识符的IPv4huoIPv6网络号的流量(比如:net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 )
dst net <>  只抓取发往标识符的IPv4huoIPv6网络号的流量
src net <>  只抓取源于标识符的IPv4huoIPv6网络号的流量
broadcast   只抓取IP广播包
multicast  只抓取IP多播包
ip proto <> 只抓取IP报头的协议类型字段值等于特定值的数据包

常见的协议类型字段值
1 ICMP
2 IGMP
6 TCP
17 UDP
47 GRE
88 EIGRP
89 OSPF
下图为一个TCP数据包,其中三层IP层的Protocol字段为6,表示其上层协议为TCP:

[img]http://img.blog.csdn.net/20160401110337954

ip6 proto <>   只抓取IPv6报头的协议类型字段值等于特定值的数据包
icmp[icmptype]==<>  只抓取特定类型的数据包(比如:icmp[icmptype]==0 ICMP echo reply数据包)
ip[2:2]==<> 字节偏移和净载匹配过滤器(第一个2代表从第二字节开始,第二个2代表两个字节长)

TCP/UDP过滤器(第四层过滤器)


port <>    抓取源或目的端口匹配的数据包(比如:port 80或port http)
dst port <>   抓取目的端口匹配的数据包
src port <>   抓取源端口匹配的数据包
tcp/udp dst/src portrange <>-<>   抓取TCP或UDP的源或目的端口在一个范围内的数据包(比如:tcp dst portrange 50 100 )
tcp[tcpflags] & (tcp-rst)==1  抓取RST标识位为1的TCP数据包

下图为一个RST标识位为1的TCP数据包:
[img]http://img.blog.csdn.net/20160401114127202

less <> 只抓取不长于<>的数据包
greater <> 只抓取不短于<>的数据包
tcp[13] & 0x01 =1    采用节偏移和净载匹配过滤器方法,13代表TCP数据包的第13个字节开始,13字节就是标记位,这个的意思是抓取FIN为1的数据包

复合型过滤器


复合过滤器就是使用“与或非”操作符连接几个单独的表达式
!或not
&&或and
||或or
举几个例子:
not broadcast and not multicast   不抓取广播和多播数据包(只抓取单播包)
tcp port 23 and host 192.168.1.1  只抓取主机192.168.1.1的telnet流量
tcp dst port 23 and tcp src portrange 5000-6000   抓取tcp源端口范围为5000-6000的telnet流量

配置字节偏移和净载匹配型过滤器


基本格式如下:
proto [offset:bytes]
proto:要抓取的协议
offset:从协议头部开始所偏移的字节数
bytes:抓包过滤器所要检查的字节数
举几个例子:
tcp [2:2]>50 and tcp[2:2]<100 端口范围是50-100的TCP数据包
tcp[14:2]<8192 抓取窗口大小字段低于8192的TCP数据包
以下附上IP,TCP,UDP包头以供参考:
[img]http://img.blog.csdn.net/20160402184531726
[img]http://img.blog.csdn.net/20160402191318081
[img]http://img.blog.csdn.net/20160402184546383
[img]http://img.blog.csdn.net/20160402191352128
[img]http://img.blog.csdn.net/20160402184619523
[img]http://img.blog.csdn.net/20160402191428909
......显示全文...
    点击查看全文


上一篇文章      下一篇文章      查看所有文章
2016-04-02 20:59:29  
互联网 最新文章
C++11并发API总结
16.收款(AcceptingMoney)
数据链路层综述
IP协议及IP数据报解析
《浅谈HTTP协议》
计算机网络基础
LoadRunner和RPT之间关于手动关联和参数化的
HTTPS中的对称密钥加密,公开密钥加密,数字
上班需要打卡吗?(开通微信公众号--乘着风
ofbizjmsactivemq
360图书馆 论文大全 母婴/育儿 软件开发资料 网页快照 文字转语音 购物精选 软件 美食菜谱 新闻中心 电影下载 小游戏 Chinese Culture
生肖星座解梦 人民的名义 人民的名义在线看 三沣玩客 拍拍 视频 开发 Android开发 站长 古典小说 网文精选 搜图网 天下美图
中国文化英文 多播视频 装修知识库
2017-7-21 4:45:57
多播视频美女直播
↓电视,电影,美女直播,迅雷资源↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  软件世界网 --