wireshark常见使用表达式

目录

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:

    plaintext 复制代码
    tcp
  • 捕获特定 IP 地址的数据包:

    plaintext 复制代码
    host 192.168.1.1
  • 捕获特定网络的数据包:

    plaintext 复制代码
    net 192.168.1.0/24
  • 捕获特定端口的数据包:

    plaintext 复制代码
    port 80
  • 捕获源地址为特定 IP 的数据包:

    plaintext 复制代码
    src host 192.168.1.1
  • 捕获目标地址为特定 IP 的数据包:

    plaintext 复制代码
    dst host 192.168.1.1
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and port 80
  • 捕获特定源和目标地址的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and dst host 192.168.1.2
  • 捕获 TCP 和 UDP 包:

    plaintext 复制代码
    tcp or udp

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:


基本显示过滤器
  • 过滤 TCP 包:

    plaintext 复制代码
    tcp
  • 过滤 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤特定 IP 地址的源目地址:

    plaintext 复制代码
    ip.src == 192.168.1.1
    ip.dst == 192.168.1.1
  • 过滤特定端口的 TCP 包:

    plaintext 复制代码
    tcp.port == 80
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && http.request
  • 过滤 TCP 三次握手的数据包:

    plaintext 复制代码
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
  • 过滤特定子网内的所有 ICMP 包:

    plaintext 复制代码
    icmp && ip.src == 192.168.1.0/24
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:

    plaintext 复制代码
    http.request.method == "POST" && frame contains "search_string"
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
  • 过滤 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
  • 过滤 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤 TLS(前身为 SSL)握手包:

    plaintext 复制代码
    tls.handshake.type == 1

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:

    plaintext 复制代码
    frame contains "example.com"
  • 过滤特定字节序列:

    plaintext 复制代码
    data.data contains 0A:0B:0C:0D
  • 过滤特定时间范围内的包:

    plaintext 复制代码
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"

逻辑操作符
  • 逻辑 AND:

    plaintext 复制代码
    tcp && ip.src == 192.168.1.1
  • 逻辑 OR:

    plaintext 复制代码
    http || dns
  • 逻辑 NOT:

    plaintext 复制代码
    !arp

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤所有 HTTP 响应:

    plaintext 复制代码
    http.response
  • 过滤特定 URL 的 HTTP 请求:

    plaintext 复制代码
    http.request.uri contains "login"
  • 分析特定网站的 HTTP 流量:

    plaintext 复制代码
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。

HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):

    plaintext 复制代码
    tcp.port == 443
DNS 协议
  • 过滤所有 DNS 查询:

    plaintext 复制代码
    dns.flags.response == 0
  • 过滤所有 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
DHCP 协议
  • 过滤所有 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤所有 DHCP 响应:

    plaintext 复制代码
    bootp.type == 2
ARP 协议
  • 过滤所有 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤所有 ARP 响应:

    plaintext 复制代码
    arp.opcode == 2
ICMP 协议
  • 过滤所有 ICMP 请求(Echo Request):

    plaintext 复制代码
    icmp.type == 8
  • 过滤所有 ICMP 响应(Echo Reply):

    plaintext 复制代码
    icmp.type == 0
  • 调试网络中的 ICMP 流量:

    plaintext 复制代码
    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:

    plaintext 复制代码
    tcp.port == 25
POP3 协议
  • 过滤所有 POP3 流量:

    plaintext 复制代码
    tcp.port == 110
IMAP 协议
  • 过滤所有 IMAP 流量:

    plaintext 复制代码
    tcp.port == 143
相关推荐
JaneJiazhao1 分钟前
HTTPSOK:智能SSL证书管理的新选择
网络·网络协议·ssl
CXDNW1 分钟前
【网络面试篇】HTTP(2)(笔记)——http、https、http1.1、http2.0
网络·笔记·http·面试·https·http2.0
无所谓จุ๊บ43 分钟前
树莓派开发相关知识十 -小试服务器
服务器·网络·树莓派
道法自然04021 小时前
Ethernet 系列(8)-- 基础学习::ARP
网络·学习·智能路由器
EasyCVR2 小时前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频
明月看潮生3 小时前
青少年编程与数学 02-003 Go语言网络编程 15课题、Go语言URL编程
开发语言·网络·青少年编程·golang·编程与数学
龙哥说跨境3 小时前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?
服务器·网络·python·网络爬虫
懒大王就是我4 小时前
C语言网络编程 -- TCP/iP协议
c语言·网络·tcp/ip
Elaine2023914 小时前
06 网络编程基础
java·网络
星LZX4 小时前
WireShark入门学习笔记
笔记·学习·wireshark