wireshark过滤内容
wireshark过滤规则?
wireshark过滤规则?
wireshark常用过滤规则:(Filter中输入过滤规则)
1、源ip过滤:
ip.src==1.1.1.1 (过滤源ip为1.1.1.1的包)
2、目的ip过滤:
ip.dst==192.168.101.8 (过滤目的ip为192.168.101.8的包)
3、端口过滤:
tcp.port==80 (源端口和目的端口为80的包都过滤出来)
tcp.dstport==80 (只过滤目的端口为80的包)
tcp.srcport==80 (只过滤源端口为80的包)
4、协议过滤:
HTTP (过滤协议为HTTP的包)
get (过滤协议为get的包)
5、http模式过滤:
http.request.method==#34GET#34 (过滤get包)
http.request.method==#34POST#34 (过滤post包)
6、连接符and:
ip.src==192.168.101.8 and http (过滤ip为192.168.101.8,并且为http协议的包)
wireshark怎么过滤特定消息?
过滤方法:
一、针对IP地址的过滤。
(1)源地址
表达式为:ip.src == 192.168.0.1
ip.src == 10.230.0.0/16 显示来自10.230网段的封包。
(2)目的地址
表达式为:ip.dst == 192.168.0.1
(3)源或者目的地址
表达式为:ip.addr == 192.168.0.1,
或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
ip.src == 192.168.0.1 || ip.dst == 192.168.0.1
(4)排除以上数据包
表达式为:!(ip.src == 192.168.0.1)
或者:ip.src != 10.1.2.3
二、针对协议的过滤
(1)仅仅输入协议名即可。
表达式为:http
(2)多种协议, 需对协议进行逻辑组合
表达式为:http or telnet
或者: tcp || udp
(3)排除某种协议的数据包
表达式为:not arp
或者:!tcp
三、针对端口的过滤
(1)某一端口
表达式为:tcp.port == 80
tcp.dstport == 25 显示目的TCP端口号为25的封包。
(2)多端口
表达式为:udp.port gt= 2048 (捕获高端口)
可用or连接:tcp.dstportgt=33758 or tcp.dstportlt=33755
and多条件组合:tcp.dstportgt=33758 and tcp.srcport==20
四、针对长度和内容的过滤
(1)数据段的长度
表达式为:udp.length lt 30 http.content_length lt=20
(2)数据包内容
表达式为:http.request.uri matches “vipscu” (匹配http请求中含有vipscu字段的请求信息)
五、深度字符串匹配
contains :Does the protocol, field or slice contain a value
示例
tcp contains “http” 显示payload中包含