wireshark抓包工具常用篩選命令方法

原創 wangheyu1 2020-03-11 14:22

Wireshark過濾規則使用

一、 MAC地址過濾

命令彙總:

eth.addr==20:dc:e6:f3:78:cc

eth.src==20:dc:e6:f3:78:cc

eth.dst==20:dc:e6:f3:78:cc

1、根據MAC地址進行篩選

使用命令:eth.addr==20:dc:e6:f3:78:cc

命令解說:篩選出MAC地址是20:dc:e6:f3:78:cc的數據包,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部數據包。

wireshark抓包工具常用篩選命令方法

2**、根據源MAC**地址篩選

使用命令:eth.src==20:dc:e6:f3:78:cc

命令解說:篩選出源MAC地址是20:dc:e6:f3:78:cc的數據包

wireshark抓包工具常用篩選命令方法

3**、根據目的MAC**地址篩選

使用命令:eth.dst==20:dc:e6:f3:78:cc

命令解說:篩選出目的MAC地址是20:dc:e6:f3:78:cc的數據包。

wireshark抓包工具常用篩選命令方法

二、 IP地址過濾

ip.addr==192.168.1.122 //根據IP地址篩選,包括源ip或者目的IP

ip.src==192.168.1.122 //根據源IP地址篩選

ip.dst==192.168.1.122 //根據目的IP地址篩選

1**、根據IP**地址進行篩選

使用命令:ip.addr==192.168.1.122

命令解說:篩選出IP地址是192.168.1.122的數據包,包括源IP地址或者目的IP地址使用的是192.168.1.122的全部數據包。

wireshark抓包工具常用篩選命令方法

2**、根據源IP**地址篩選

使用命令:ip.src==182.254.110.91

命令解說:篩選出源IP地址是182.254.110.91的數據包

wireshark抓包工具常用篩選命令方法

3**、根據目的IP**地址篩選

使用命令:ip.dst==192.168.1.122

命令解說:篩選出目的地址是192.168.1.122的數據包。

wireshark抓包工具常用篩選命令方法

三、 端口過濾

端口過濾。如過濾80端口,在Filter中輸入,tcp.port==80,這條規則是把源端口和目的端口爲80的都過濾出來。使用tcp.dstport==80只過濾目的端口爲80的,tcp.srcport==80只過濾源端口爲80的包;

tcp.port==80 //根據TCP端口篩選數據包,包括源端口或者目的端口

tcp.dstport==80 //根據目的TCP端口篩選數據包。

tcp.srcport==80 //根據源TCP端口篩選數據包。

udp.port==4010 //根據UDP端口篩選數據包,包括源端口或者目的端口

udp.srcport==4010 //根據源UDP端口篩選數據包。

udp.dstport==4010 //根據目的UDP端口篩選數據包。

1**、篩選TCP**端口

使用命令:tcp.port==80

命令解說:篩選出TCP端口是80通信的數據包,包括源端口使用TCP 80或者目的端口使用tcp 80端口的數據包。

wireshark抓包工具常用篩選命令方法

2**、篩選目的端口數據包**

使用命令:tcp.dstport==80

命令解說:篩選出目的端口使用的是TCP 80通信的數據包

wireshark抓包工具常用篩選命令方法

3**、篩選源端口數據包**

使用命令:tcp.srcport==80

命令解說:篩選出源端口是採用tcp 80端口的數據包。

wireshark抓包工具常用篩選命令方法

四、 協議篩選

根據通訊協議進行篩選數據包,例如http協議、ftp協議等等。常用協議有下:

udp

tcp

arp

icmp

smtp

pop

dns

ip

ssl

http

ftp

telnet

ssh

rdp

rip

ospf

1**、篩選出http**協議數據包

協議篩選相對來說比較簡單,直接在過濾窗口(filter)輸入協議即可。例如篩選出http協議的數據如下圖:

注意:在進行協議篩選的時候,協議名稱一定要寫成小寫,否則會出錯的。

wireshark抓包工具常用篩選命令方法

2**、篩選出http的GET數據包**

使用命令:http.request.method==GET

命令解說:篩選出http協議採用get方式的數據包。注意GET一定要寫成大寫,否則篩選不出來的。

wireshark抓包工具常用篩選命令方法

3、篩選出http的POST數據包。

使用命令: http.request.method==POST

命令解說:篩選出採用http協議的post方式的數據包,注意POST參數一定要寫成大寫的,否則篩選不出來數據。

wireshark抓包工具常用篩選命令方法

五、邏輯條件組合篩選

邏輯表達式彙總:

|| //邏輯或

&& //邏輯與

! //邏輯非

1**、邏輯與篩選方法**

使用命令:ip.src==192.168.1.122&&ip.dst==121.114.244.119

命令解說:篩選出源ip地址是192.168.1.122並且目的地址是121.114.244.119的數據包。在使用的時候也可以用括號進行包含區分,上面的命令也可以等價於以下命令

(ip.src==192.168.1.122)&&(ip.dst==121.114.244.119)

wireshark抓包工具常用篩選命令方法

2**、邏輯或篩選**

使用命令:ip.src==192.168.1.122||ip.src==182.254.110.91

命令解說:篩選出源IP地址是192.168.1.122或者源ip地址是182.254.110.91的數據包

wireshark抓包工具常用篩選命令方法

3**、邏輯非篩選**

使用命令:!(ip.addr==192.168.1.122)

命令解說:篩選出不是192.168.1.122的數據包。

wireshark抓包工具常用篩選命令方法

©著作權歸作者所有:來自51CTO博客作者老鷹a的原創作品,如需轉載,請註明出處,否則將追究法律責任

轉自https://blog.51cto.com/laoyinga/1767613

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

一則 TCP 緩存超負荷導致的 MySQL 連接中斷的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龔唐傑,愛可生 DBA 團隊成員,主要負責 MySQL 技術支持,擅長 MySQL、PG、國產數據庫。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註

原創 2024-04-24 23:20:53

MQTT 5.0 報文解析 06:AUTH

歡迎閱讀 MQTT 5.0 報文系列 的最後一篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 DISCONNECT 報文。現在,我們將介紹 MQTT 中的最後一個控制報文:AUTH。 MQTT 5.0 引入了增強認證特性,它使 M

原創 2024-04-22 21:55:23

MQTT 5.0 報文解析 05:DISCONNECT

歡迎閱讀 MQTT 5.0 報文系列 的第五篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 PINGREQ 和 PINGRESP 報文。現在,我們將介紹下一個控制報文:DISCONNECT。 在 MQTT 中,客戶端和服務端可以在

原創 2024-04-16 21:56:02

MQTT 5.0 報文解析 04:PINGREQ 與 PINGRESP

歡迎閱讀 MQTT 5.0 報文系列 的第四篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 中的 SUBSCRIBE 報文和 UNSUBSCRIBE 報文。現在,我們將介紹用於維持連接的控制報文:PINGREQ 和 PINGRESP。

原創 2024-04-07 21:55:17

MQTT 5.0 報文解析 02:PUBLISH 與 PUBACK

歡迎閱讀 MQTT 5.0 報文系列 的第二篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 CONNECT 和 CONNACK 報文。現在,我們將介紹在 MQTT 中用於傳遞應用消息的 PUBLISH 報文以及它的響應報文。 不管

原創 2024-03-18 22:23:18

MQTT 5.0 報文解析 01:CONNECT 與 CONNACK

在 MQTT 5.0 報文介紹 中,我們介紹了 MQTT 報文由固定報頭、可變報頭和有效載荷三個部分組成,以及可變字節整數、屬性這類 MQTT 報文中的通用概念。現在,我們將按照實際的用途來進一步介紹各個類型的報文的組成。首先,我們將專注於

原創 2024-03-04 22:06:21

手把手帶你配置一個DHCP服務器 | 京東雲技術團隊

1 前言 最近部門內部成立一個網絡興趣小組,初衷是通過網絡知識學習,在遇到網絡問題時能夠承擔起一個與網絡側同學有效溝通的“連接人”的角色,求學這麼多年其實也陸續學了不少的網絡相關課程,本科的計算機網絡、碩士的高等計網等,不過當時大多都停留

原創 2023-12-07 12:07:16

asdf抖音app爬蟲方案sfasdfasd

時間202308 1.appnium(ok) 2.fiddler(不行,由於高版本安卓sslpinning技術,以及抖音的自定義sslpinning技術) 解決:繞過sslpinning,抖音有向下兼容http2協議,想辦法繞過sslpin

原創 2023-08-08 00:02:30

自上而下的理解網絡(4)——TCP篇

自上而下的理解網絡(4)——TCP篇 本系列文章的主題是自上而下的理解網絡,這裏的之上而下,只要指的是基於HTTP的網絡服務。我們只要從上之下的將這一過程理解透徹,對於其他的應用來說,只是協議不同,原理是相似的。通過本系列前面幾篇博客的介紹

原創 2022-04-30 12:59:50

wireshark 監聽 tcp 協議

假設需要 使用 tcp 協議發送一個 16 進制 調度指令  AA 00 01 03 01 00 01 02 FC   使用網絡調試助手  打開 wireshark,過濾選項中設置 tcp 的端口,這樣來排除其他報文數據。 tcp.po

原創 2022-04-30 12:51:45

記錄下做攻防世界的misc題

0x00 記錄一下,代表自己做過 0x01 flag_universe 看簡介是來自2018年的百越杯。 將文件下載下來後,就一個flag_universe.pcapng文件,wireshark打開。 追蹤tcp流,發現是FTP傳輸文件,傳

osc_6ruay563 2021-12-25 21:45:29

記一次事件,DoH功能失效導致chrome dns解析錯誤

現象: chrome 訪問所有的網站時都出現ERR_NAME_NOT_RESOLVED錯誤,使用firefox瀏覽器可以正常訪問。 使用WireShark監聽網絡,發現dns地址都爲8.8.8.8,查詢內容都是google.com。dns地

原創 2021-12-25 21:41:55

20199101 2019-2020-2 《網絡攻防實踐》第五週作業

TCP/IP網絡協議攻擊的原理和實踐 0.總體結構 本次作業屬於哪個課程 網絡攻防實踐 這個作業要求在哪裏 TCP/IP網絡協議攻擊 我在這個課程的目標是 學習網絡攻防相關技術和原理 這個作業在哪個具體方面幫助

osc_x2c17gwy 2021-12-25 21:38:49

Http請求壓縮/tcpdump

啓動一個nginx進行轉發,然後請求,使用tcp dump來查看是否壓縮成功了 也可以啓動一個Java的8081端口來Tcp dump來看 #-i lo是監聽lo網卡 #port 是監聽端口 #host 是監控localhost發出

原創 2021-12-25 21:37:11

記一次用WireShark抓包擺脫Si服後臺限制的過程

  背景:閒着無聊找了個小衆的手遊,因爲手遊都是比較喫金的,所以就找了個Si服,鑑於小時候寶可夢的情懷,就TB買了個GM後臺。誰知這玩意有限制,到了100級之後升級超級難,最多隻能發送99999W點經驗,所以打算抓個包破解後自己POST,啊

osc_g5vuxtsj 2021-12-25 21:21:15