wireshark常见使用表达式

目录

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:

    plaintext 复制代码
    tcp
  • 捕获特定 IP 地址的数据包:

    plaintext 复制代码
    host 192.168.1.1
  • 捕获特定网络的数据包:

    plaintext 复制代码
    net 192.168.1.0/24
  • 捕获特定端口的数据包:

    plaintext 复制代码
    port 80
  • 捕获源地址为特定 IP 的数据包:

    plaintext 复制代码
    src host 192.168.1.1
  • 捕获目标地址为特定 IP 的数据包:

    plaintext 复制代码
    dst host 192.168.1.1
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and port 80
  • 捕获特定源和目标地址的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and dst host 192.168.1.2
  • 捕获 TCP 和 UDP 包:

    plaintext 复制代码
    tcp or udp

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:


基本显示过滤器
  • 过滤 TCP 包:

    plaintext 复制代码
    tcp
  • 过滤 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤特定 IP 地址的源目地址:

    plaintext 复制代码
    ip.src == 192.168.1.1
    ip.dst == 192.168.1.1
  • 过滤特定端口的 TCP 包:

    plaintext 复制代码
    tcp.port == 80
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && http.request
  • 过滤 TCP 三次握手的数据包:

    plaintext 复制代码
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
  • 过滤特定子网内的所有 ICMP 包:

    plaintext 复制代码
    icmp && ip.src == 192.168.1.0/24
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:

    plaintext 复制代码
    http.request.method == "POST" && frame contains "search_string"
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
  • 过滤 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
  • 过滤 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤 TLS(前身为 SSL)握手包:

    plaintext 复制代码
    tls.handshake.type == 1

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:

    plaintext 复制代码
    frame contains "example.com"
  • 过滤特定字节序列:

    plaintext 复制代码
    data.data contains 0A:0B:0C:0D
  • 过滤特定时间范围内的包:

    plaintext 复制代码
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"

逻辑操作符
  • 逻辑 AND:

    plaintext 复制代码
    tcp && ip.src == 192.168.1.1
  • 逻辑 OR:

    plaintext 复制代码
    http || dns
  • 逻辑 NOT:

    plaintext 复制代码
    !arp

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤所有 HTTP 响应:

    plaintext 复制代码
    http.response
  • 过滤特定 URL 的 HTTP 请求:

    plaintext 复制代码
    http.request.uri contains "login"
  • 分析特定网站的 HTTP 流量:

    plaintext 复制代码
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。

HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):

    plaintext 复制代码
    tcp.port == 443
DNS 协议
  • 过滤所有 DNS 查询:

    plaintext 复制代码
    dns.flags.response == 0
  • 过滤所有 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
DHCP 协议
  • 过滤所有 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤所有 DHCP 响应:

    plaintext 复制代码
    bootp.type == 2
ARP 协议
  • 过滤所有 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤所有 ARP 响应:

    plaintext 复制代码
    arp.opcode == 2
ICMP 协议
  • 过滤所有 ICMP 请求(Echo Request):

    plaintext 复制代码
    icmp.type == 8
  • 过滤所有 ICMP 响应(Echo Reply):

    plaintext 复制代码
    icmp.type == 0
  • 调试网络中的 ICMP 流量:

    plaintext 复制代码
    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:

    plaintext 复制代码
    tcp.port == 25
POP3 协议
  • 过滤所有 POP3 流量:

    plaintext 复制代码
    tcp.port == 110
IMAP 协议
  • 过滤所有 IMAP 流量:

    plaintext 复制代码
    tcp.port == 143
相关推荐
速盾cdn3 小时前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin5211233 小时前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin3 小时前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao5 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash8 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy8 小时前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ9 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
.Ayang9 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
好想打kuo碎10 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全