目录
-
-
- [1. 捕获过滤器 (Capture Filters)](#1. 捕获过滤器 (Capture Filters))
- [2. 显示过滤器 (Display Filters)](#2. 显示过滤器 (Display Filters))
- [3. 进阶显示过滤器技巧](#3. 进阶显示过滤器技巧)
- [4. 常见网络协议过滤表达式示例](#4. 常见网络协议过滤表达式示例)
-
- [HTTP 协议](#HTTP 协议)
- [HTTPS 协议](#HTTPS 协议)
- [DNS 协议](#DNS 协议)
- [DHCP 协议](#DHCP 协议)
- [ARP 协议](#ARP 协议)
- [ICMP 协议](#ICMP 协议)
- [SMTP 协议](#SMTP 协议)
- [POP3 协议](#POP3 协议)
- [IMAP 协议](#IMAP 协议)
-
1. 捕获过滤器 (Capture Filters)
捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:
基本捕获过滤器
-
捕获所有 TCP 包:
plaintexttcp -
捕获特定 IP 地址的数据包:
plaintexthost 192.168.1.1 -
捕获特定网络的数据包:
plaintextnet 192.168.1.0/24 -
捕获特定端口的数据包:
plaintextport 80 -
捕获源地址为特定 IP 的数据包:
plaintextsrc host 192.168.1.1 -
捕获目标地址为特定 IP 的数据包:
plaintextdst host 192.168.1.1
组合捕获过滤器
-
捕获特定源地址且目标端口为 80 的数据包:
plaintextsrc host 192.168.1.1 and port 80 -
捕获特定源和目标地址的数据包:
plaintextsrc host 192.168.1.1 and dst host 192.168.1.2 -
捕获 TCP 和 UDP 包:
plaintexttcp or udp
2. 显示过滤器 (Display Filters)
显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:
基本显示过滤器
-
过滤 TCP 包:
plaintexttcp -
过滤 HTTP 请求:
plaintexthttp.request -
过滤特定 IP 地址的源目地址:
plaintextip.src == 192.168.1.1 ip.dst == 192.168.1.1 -
过滤特定端口的 TCP 包:
plaintexttcp.port == 80
复杂显示过滤器
-
过滤特定 IP 地址且包含 HTTP 请求的数据包:
plaintextip.src == 192.168.1.1 && http.request -
过滤 TCP 三次握手的数据包:
plaintexttcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0 -
过滤特定子网内的所有 ICMP 包:
plaintexticmp && ip.src == 192.168.1.0/24 -
过滤 HTTP POST 请求中包含特定字符串的数据包:
plaintexthttp.request.method == "POST" && frame contains "search_string" -
过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:
plaintextip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
-
过滤 DHCP 请求:
plaintextbootp.type == 1 -
过滤 DNS 响应:
plaintextdns.flags.response == 1 -
过滤 ARP 请求:
plaintextarp.opcode == 1 -
过滤 TLS(前身为 SSL)握手包:
plaintexttls.handshake.type == 1
3. 进阶显示过滤器技巧
使用函数和操作符
-
包含特定字符串的包:
plaintextframe contains "example.com" -
过滤特定字节序列:
plaintextdata.data contains 0A:0B:0C:0D -
过滤特定时间范围内的包:
plaintextframe.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"
逻辑操作符
-
逻辑 AND:
plaintexttcp && ip.src == 192.168.1.1 -
逻辑 OR:
plaintexthttp || dns -
逻辑 NOT:
plaintext!arp
4. 常见网络协议过滤表达式示例
HTTP 协议
-
过滤所有 HTTP 请求:
plaintexthttp.request -
过滤所有 HTTP 响应:
plaintexthttp.response -
过滤特定 URL 的 HTTP 请求:
plaintexthttp.request.uri contains "login" -
分析特定网站的 HTTP 流量:
plaintexthttp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。
HTTPS 协议
-
过滤 HTTPS 流量(基于端口):
plaintexttcp.port == 443
DNS 协议
-
过滤所有 DNS 查询:
plaintextdns.flags.response == 0 -
过滤所有 DNS 响应:
plaintextdns.flags.response == 1
DHCP 协议
-
过滤所有 DHCP 请求:
plaintextbootp.type == 1 -
过滤所有 DHCP 响应:
plaintextbootp.type == 2
ARP 协议
-
过滤所有 ARP 请求:
plaintextarp.opcode == 1 -
过滤所有 ARP 响应:
plaintextarp.opcode == 2
ICMP 协议
-
过滤所有 ICMP 请求(Echo Request):
plaintexticmp.type == 8 -
过滤所有 ICMP 响应(Echo Reply):
plaintexticmp.type == 0 -
调试网络中的 ICMP 流量:
plaintexticmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。
SMTP 协议
-
过滤所有 SMTP 流量:
plaintexttcp.port == 25
POP3 协议
-
过滤所有 POP3 流量:
plaintexttcp.port == 110
IMAP 协议
-
过滤所有 IMAP 流量:
plaintexttcp.port == 143