Wireshark显示过滤器大全:快速定位网络流量中的关键数据包

Eileen Seligman2024-08-10 6:04

文章目录

  • 一、简介
  • 二、wireshark中的逻辑运算符
  • 三、过滤示例集合
    • [3.1 过滤指定日期和时间](#3.1 过滤指定日期和时间)
    • [3.2 过滤指定协议](#3.2 过滤指定协议)
      • [3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:](#3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:)
      • [3.2.2 例如:Windows 客户端 - DC 交换](#3.2.2 例如:Windows 客户端 - DC 交换)
    • [3.3 过滤指定网段(不包含Internet网络)](#3.3 过滤指定网段(不包含Internet网络))
      • [3.3.1 过滤指定网段的内容](#3.3.1 过滤指定网段的内容)
      • [3.3.2 过滤排除指定网段的内容](#3.3.2 过滤排除指定网段的内容)
    • [3.4 切片运算符使用示例](#3.4 切片运算符使用示例)
      • [3.4.1 匹配UDP协议的有效负载](#3.4.1 匹配UDP协议的有效负载)
      • [3.4.1 匹配MAC address供应商地址](#3.4.1 匹配MAC address供应商地址)
    • [3.5 过滤指定TCP端口](#3.5 过滤指定TCP端口)
    • [3.6 HTTP协议的过滤方法](#3.6 HTTP协议的过滤方法)
      • [3.6.1 过滤指定主机](#3.6.1 过滤指定主机)
      • [3.6.2 过滤响应状态码](#3.6.2 过滤响应状态码)
      • [3.6.3 过滤指定请求方法](#3.6.3 过滤指定请求方法)
      • [3.6.4 other](#3.6.4 other)
  • 四、结语

一、简介

在Wireshark中,我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的,因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量,从而更高效地进行分析。接下来,我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

二、wireshark中的逻辑运算符

英文 别名 符号
eq any_eq ==
ne all_ne !=
all_eq ===
any_ne !==
gt >
lt <
ge >=
le <=
contains
matches ~

三、过滤示例集合

3.1 过滤指定日期和时间

frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

3.2 过滤指定协议

3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:

tcp.port eq 25 or icmp

3.2.2 例如:Windows 客户端 - DC 交换

 smb || nbns || dcerpc || nbss || dns

3.3 过滤指定网段(不包含Internet网络)

3.3.1 过滤指定网段的内容

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

3.3.2 过滤排除指定网段的内容

! (ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16)

3.4 切片运算符使用示例

3.4.1 匹配UDP协议的有效负载

跳过UDP8个字节标头,匹配从8个字节开始3个字节

udp[8:3]==81:60:03

3.4.1 匹配MAC address供应商地址

eth.addr[0:3]==00:06:5B

切片运算符还可以使用包含运算符代替,不过包含运算符是匹配出现在字段或协议中任何位置的字符,无法达到上面的切片运算符的精确度

  udp contains 81:60:03

3.5 过滤指定TCP端口

tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

3.6 HTTP协议的过滤方法

3.6.1 过滤指定主机

http.host == magentonotes.com

3.6.2 过滤响应状态码

http.response.code == 302

3.6.3 过滤指定请求方法

http.request.method == POST

3.6.4 other

还有一些HTTP头部过滤比如像http.server和HTTP主体过滤等等方式我在这里就不过多赘述了,感兴趣的读者们可以去网络上查阅

四、结语

这些方法并不涵盖全部,我只是列举了我经常使用的过滤器。想要进一步学习的读者可以查阅官方文档,或在评论区一起交流讨论。希望这些示例能帮助你更有效地使用Wireshark进行流量分析。

在撰写过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
hzyyyyyyyu21 分钟前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全
明明跟你说过36 分钟前
Linux中的【tcpdump】:深入介绍与实战使用
linux·运维·测试工具·tcpdump
刽子手发艺1 小时前
WebSocket详解、WebSocket入门案例
网络·websocket·网络协议
速盾cdn5 小时前
速盾:CDN是否支持屏蔽IP?
网络·网络协议·tcp/ip
yaoxin5211235 小时前
第二十七章 TCP 客户端 服务器通信 - 连接管理
服务器·网络·tcp/ip
内核程序员kevin5 小时前
TCP Listen 队列详解与优化指南
linux·网络·tcp/ip
PersistJiao6 小时前
Spark 分布式计算中网络传输和序列化的关系(一)
大数据·网络·spark
黑客Ash9 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy9 小时前
计算机网络(第一章)
网络·计算机网络·php
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO07【目标跟踪】相机运动补偿08Unity中PICO实现 隔空取物 和 接触抓取物体09RAG 实践- Ollama+RagFlow 部署本地知识库10怎样让音频速度变慢?请跟随以下方法进行操作