wireshark过滤规则总结

Zss 发表于:

每次用一次查一次的规则,常用的应该差不多这些了吧,都记录一下吧(-__-)b

eth表示以太网mac   ip表示ip地址   port表示端口号,其实感觉这些和自然语言还是挺相近的

src表示的源  dst表示的目的!!!

什么东西.src 或者dst ==  啥子??? or (或者) 什么东西.src 或者dst ==  啥子???

什么东西.src 或者dst ==  啥子??? and(而且)什么东西.src 或者dst ==  啥子???

1.过滤某个地址的ip

ip.src == 192.168.1.107 or ip.dst == 192.168.1.107
或者
ip.addr == 192.168.1.107 // 都能显示来源IP和目标IP

2. 协议过滤

比如TCP,只显示TCP协议,直接输入协议名就好了

tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp。。。。
排除arp包,如!arp   或者   not arp

3.端口过滤

协议名.port   表示这个协议的端口

tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

4.过滤mac

eth 表示过滤mac
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne

5.http模式的过滤

例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:

6.过滤语法

1、wireshark基本的语法字符

\d          0-9的数字
\D          \d的补集(以所以字符为全集,下同),即所有非数字的字符
\w          单词字符,指大小写字母、0-9的数字、下划线
\W          \w的补集
\s          空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f
\S          \s的补集
.          除换行符\n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式”
.*       匹配任意文本,不包括回车(\n)? 。 而,[0x00-0xff]*        匹配任意文本,包括\n
[…]          匹配[]内所列出的所有字符
[^…]          匹配非[]内所列出的字符
—————————————————————————————-
2、定位字符  所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
^          表示其后的字符必须位于字符串的开始处
$          表示其前面的字符必须位于字符串的结束处
\b          匹配一个单词的边界
\B          匹配一个非单词的边界
—————————————————————————————-
3、重复描述字符
{n}          匹配前面的字符n次
{n,}          匹配前面的字符n次或多于n次
{n,m}          匹配前面的字符n到m次
?          匹配前面的字符0或1次
+          匹配前面的字符1次或多于1次
*          匹配前面的字符0次或式于0次
—————————————————————————————-
4、and or 匹配
and 符号 并
or  符号 或
例如:
tcp and tcp.port==80
tcp or udp

7.例子

例子:

snmp || dns || icmp显示SNMP或DNS或ICMP封包。ip.addr == 10.1.1.1

显示来源或目的IP地址为10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说,显示的封包将会为:
来源IP:除了10.1.2.3以外任意;目的IP:任意
以及
来源IP:任意;目的IP:除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
换句话说,显示的封包将会为:
来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意

tcp.port == 25显示来源或目的TCP端口号为25的封包。tcp.dstport == 25显示目的TCP端口号为25的封包。tcp.flags显示包含TCP标志的封包。tcp.flags.syn == 0×02显示包含TCP SYN标志的封包。