wireshark常见使用表达式

目录

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法,主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例:

基本捕获过滤器
  • 捕获所有 TCP 包:

    plaintext 复制代码
    tcp
  • 捕获特定 IP 地址的数据包:

    plaintext 复制代码
    host 192.168.1.1
  • 捕获特定网络的数据包:

    plaintext 复制代码
    net 192.168.1.0/24
  • 捕获特定端口的数据包:

    plaintext 复制代码
    port 80
  • 捕获源地址为特定 IP 的数据包:

    plaintext 复制代码
    src host 192.168.1.1
  • 捕获目标地址为特定 IP 的数据包:

    plaintext 复制代码
    dst host 192.168.1.1
组合捕获过滤器
  • 捕获特定源地址且目标端口为 80 的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and port 80
  • 捕获特定源和目标地址的数据包:

    plaintext 复制代码
    src host 192.168.1.1 and dst host 192.168.1.2
  • 捕获 TCP 和 UDP 包:

    plaintext 复制代码
    tcp or udp

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包,语法更加灵活和强大。以下是一些常见的显示过滤器及其用法:


基本显示过滤器
  • 过滤 TCP 包:

    plaintext 复制代码
    tcp
  • 过滤 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤特定 IP 地址的源目地址:

    plaintext 复制代码
    ip.src == 192.168.1.1
    ip.dst == 192.168.1.1
  • 过滤特定端口的 TCP 包:

    plaintext 复制代码
    tcp.port == 80
复杂显示过滤器
  • 过滤特定 IP 地址且包含 HTTP 请求的数据包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && http.request
  • 过滤 TCP 三次握手的数据包:

    plaintext 复制代码
    tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
  • 过滤特定子网内的所有 ICMP 包:

    plaintext 复制代码
    icmp && ip.src == 192.168.1.0/24
  • 过滤 HTTP POST 请求中包含特定字符串的数据包:

    plaintext 复制代码
    http.request.method == "POST" && frame contains "search_string"
  • 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包:

    plaintext 复制代码
    ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
协议特定显示过滤器
  • 过滤 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
  • 过滤 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤 TLS(前身为 SSL)握手包:

    plaintext 复制代码
    tls.handshake.type == 1

3. 进阶显示过滤器技巧

使用函数和操作符
  • 包含特定字符串的包:

    plaintext 复制代码
    frame contains "example.com"
  • 过滤特定字节序列:

    plaintext 复制代码
    data.data contains 0A:0B:0C:0D
  • 过滤特定时间范围内的包:

    plaintext 复制代码
    frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"

逻辑操作符
  • 逻辑 AND:

    plaintext 复制代码
    tcp && ip.src == 192.168.1.1
  • 逻辑 OR:

    plaintext 复制代码
    http || dns
  • 逻辑 NOT:

    plaintext 复制代码
    !arp

4. 常见网络协议过滤表达式示例

HTTP 协议
  • 过滤所有 HTTP 请求:

    plaintext 复制代码
    http.request
  • 过滤所有 HTTP 响应:

    plaintext 复制代码
    http.response
  • 过滤特定 URL 的 HTTP 请求:

    plaintext 复制代码
    http.request.uri contains "login"
  • 分析特定网站的 HTTP 流量:

    plaintext 复制代码
    http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。

HTTPS 协议
  • 过滤 HTTPS 流量(基于端口):

    plaintext 复制代码
    tcp.port == 443
DNS 协议
  • 过滤所有 DNS 查询:

    plaintext 复制代码
    dns.flags.response == 0
  • 过滤所有 DNS 响应:

    plaintext 复制代码
    dns.flags.response == 1
DHCP 协议
  • 过滤所有 DHCP 请求:

    plaintext 复制代码
    bootp.type == 1
  • 过滤所有 DHCP 响应:

    plaintext 复制代码
    bootp.type == 2
ARP 协议
  • 过滤所有 ARP 请求:

    plaintext 复制代码
    arp.opcode == 1
  • 过滤所有 ARP 响应:

    plaintext 复制代码
    arp.opcode == 2
ICMP 协议
  • 过滤所有 ICMP 请求(Echo Request):

    plaintext 复制代码
    icmp.type == 8
  • 过滤所有 ICMP 响应(Echo Reply):

    plaintext 复制代码
    icmp.type == 0
  • 调试网络中的 ICMP 流量:

    plaintext 复制代码
    icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)

    此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。

SMTP 协议
  • 过滤所有 SMTP 流量:

    plaintext 复制代码
    tcp.port == 25
POP3 协议
  • 过滤所有 POP3 流量:

    plaintext 复制代码
    tcp.port == 110
IMAP 协议
  • 过滤所有 IMAP 流量:

    plaintext 复制代码
    tcp.port == 143
相关推荐
白白白飘9 分钟前
【8】补充与拓展:Langchain的联网搜索Agent,使用Tavily工具
服务器·网络·langchain
DS小龙哥13 分钟前
基于树莓派PICO2设计的汽车少儿安全预警系统
网络·安全·汽车
solar应急响应20 分钟前
【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)
网络·安全
国科安芯37 分钟前
基于ASM1042S2S的箭载通信网络抗辐射加固方案研究
服务器·网络·嵌入式硬件·fpga开发·架构·信号处理
云栖梦泽在42 分钟前
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查
网络·网络协议·tcp/ip·网络安全·性能优化
WZF-Sang1 小时前
TCP和UDP协议
linux·服务器·网络·c++·学习·tcp/ip·udp
Liquad Li1 小时前
Salesforce高级开发面试题
java·网络·面试·crm·salesforce
云栖梦泽在2 小时前
在线 IP 检测工具能看到哪些信息?从公网 IP、ASN 到浏览器环境一文讲清
网络·网络协议·tcp/ip
fei_sun19 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影19 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app