ps:这篇文章旨在记录常用规则,为网上搜集。

wirshark的过滤

输入位置

在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色

过滤源ip、目的ip

  • 查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;
  • 查找源地址为192.168.43.199 的包, ip.src==192.168.43.199.

端口过滤

  • 过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。
  • tcp.dstport==80只过滤目的端口为80的,
  • tcp.srcport==80只过滤源端口为80的包
  • 过滤端口范围 :tcp.port >= 1 and tcp.port <= 80

前面的为协议类型,如tcp、udp等

协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议,输入HTTP即可。
tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp

排除arp包,如!arp 或者 not arp
DHCP协议的检索规则不是dhcp/DHCP, 而是bootp

http模式过滤

  • 过滤get包,http.request.method=="GET"
  • 过滤post包,http.request.method=="POST"

过滤MAC

太以网头过滤

  • eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
  • eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
  • eth.addr eq A0:00:00:04:C5:84// 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

TCP参数过滤

  • tcp.flags 显示包含TCP标志的封包。
  • tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。
  • tcp.window_size == 0 && tcp.flags.reset != 1

特殊符号的使用

  • 过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http
  • 过滤两种条件时,使用or连接,如过滤ip为192.168.101.8或者http协议的,ip.src==192.168.101.8 or http
  • less than 小于 < lt
  • 小于等于 le
  • 等于 eq
  • 大于 gt
  • 大于等于 ge
  • 不等 ne

最后,补充一下好的网址:https://blog.csdn.net/wojiaopanpan/article/details/69944970