Wireshark显示过滤器大全:快速定位网络流量中的关键数据包

Eileen Seligman2024-08-10 6:04

文章目录

  • 一、简介
  • 二、wireshark中的逻辑运算符
  • 三、过滤示例集合
    • [3.1 过滤指定日期和时间](#3.1 过滤指定日期和时间)
    • [3.2 过滤指定协议](#3.2 过滤指定协议)
      • [3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:](#3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:)
      • [3.2.2 例如:Windows 客户端 - DC 交换](#3.2.2 例如:Windows 客户端 - DC 交换)
    • [3.3 过滤指定网段(不包含Internet网络)](#3.3 过滤指定网段(不包含Internet网络))
      • [3.3.1 过滤指定网段的内容](#3.3.1 过滤指定网段的内容)
      • [3.3.2 过滤排除指定网段的内容](#3.3.2 过滤排除指定网段的内容)
    • [3.4 切片运算符使用示例](#3.4 切片运算符使用示例)
      • [3.4.1 匹配UDP协议的有效负载](#3.4.1 匹配UDP协议的有效负载)
      • [3.4.1 匹配MAC address供应商地址](#3.4.1 匹配MAC address供应商地址)
    • [3.5 过滤指定TCP端口](#3.5 过滤指定TCP端口)
    • [3.6 HTTP协议的过滤方法](#3.6 HTTP协议的过滤方法)
      • [3.6.1 过滤指定主机](#3.6.1 过滤指定主机)
      • [3.6.2 过滤响应状态码](#3.6.2 过滤响应状态码)
      • [3.6.3 过滤指定请求方法](#3.6.3 过滤指定请求方法)
      • [3.6.4 other](#3.6.4 other)
  • 四、结语

一、简介

在Wireshark中,我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的,因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量,从而更高效地进行分析。接下来,我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

二、wireshark中的逻辑运算符

英文 别名 符号
eq any_eq ==
ne all_ne !=
all_eq ===
any_ne !==
gt >
lt <
ge >=
le <=
contains
matches ~

三、过滤示例集合

3.1 过滤指定日期和时间

复制代码 
frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

3.2 过滤指定协议

3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:

复制代码 
tcp.port eq 25 or icmp

3.2.2 例如:Windows 客户端 - DC 交换

复制代码 
 smb || nbns || dcerpc || nbss || dns

3.3 过滤指定网段(不包含Internet网络)

3.3.1 过滤指定网段的内容

复制代码 
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

3.3.2 过滤排除指定网段的内容

复制代码 
! (ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16)

3.4 切片运算符使用示例

3.4.1 匹配UDP协议的有效负载

跳过UDP8个字节标头,匹配从8个字节开始3个字节

复制代码 
udp[8:3]==81:60:03

3.4.1 匹配MAC address供应商地址

复制代码 
eth.addr[0:3]==00:06:5B

切片运算符还可以使用包含运算符代替,不过包含运算符是匹配出现在字段或协议中任何位置的字符,无法达到上面的切片运算符的精确度

复制代码 
  udp contains 81:60:03

3.5 过滤指定TCP端口

复制代码 
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

3.6 HTTP协议的过滤方法

3.6.1 过滤指定主机

复制代码 
http.host == magentonotes.com

3.6.2 过滤响应状态码

复制代码 
http.response.code == 302

3.6.3 过滤指定请求方法

复制代码 
http.request.method == POST

3.6.4 other

还有一些HTTP头部过滤比如像http.server和HTTP主体过滤等等方式我在这里就不过多赘述了,感兴趣的读者们可以去网络上查阅

四、结语

这些方法并不涵盖全部,我只是列举了我经常使用的过滤器。想要进一步学习的读者可以查阅官方文档,或在评论区一起交流讨论。希望这些示例能帮助你更有效地使用Wireshark进行流量分析。

在撰写过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
白帽黑客沐瑶1 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
树码小子1 天前
Java网络编程:(socket API编程:TCP协议的 socket API -- 回显程序的服务器端程序的编写)
java·网络·tcp/ip
绿箭柠檬茶2 天前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu
测试老哥2 天前
Selenium 使用指南
自动化测试·软件测试·python·selenium·测试工具·职场和发展·测试用例
real 12 天前
传输层协议UDP
网络·网络协议·udp
路由侠内网穿透2 天前
本地部署 GPS 跟踪系统 Traccar 并实现外部访问
运维·服务器·网络·windows·tcp/ip
喵手2 天前
玩转Java网络编程:基于Socket的服务器和客户端开发!
java·服务器·网络
徐子元竟然被占了!!2 天前
实验-基本ACL
网络
ftpeak2 天前
从零开始使用 axum-server 构建 HTTP/HTTPS 服务
网络·http·https·rust·web·web app
LabVIEW开发2 天前
LabVIEW气体污染无线监测
网络·labview·labview知识·labview功能·labview程序
热门推荐
01GitHub 镜像站点02UV 工具安装与国内镜像源配置指南03Claude Code 平替:OpenAI发布 Codex CLI ,GPT-5 国内直接使用04UV安装并设置国内源0546个Nano-banana 精选提示词,持续更新中06保姆级教程:手把手教你用Dify实现完美多轮对话(附Chatflow和提示词)07解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题08A股预测还能更准?开源大模型Kronos带你跑通预测+回测全流程09Spec-Kit 使用指南10KGG转MP3工具|非KGM文件|解密音频