wirshark的过滤规则.md
ps:这篇文章旨在记录常用规则,为网上搜集。
wirshark的过滤
在Filter编辑框中,收入过虑规则时,如果语法有误,框会显红色,如正确,会是绿色
过滤源ip、目的ip
- 查找目的地址为192.168.101.8的包,
ip.dst==192.168.101.8;
- 查找源地址为192.168.43.199 的包,
ip.src==192.168.43.199.
端口过滤
- 过滤80端口,在Filter中输入,
tcp.port==80
,这条规则是把源端口和目的端口为80的都过滤出来。 tcp.dstport==80
只过滤目的端口为80的,tcp.srcport==80
只过滤源端口为80的包- 过滤端口范围 :
tcp.port >= 1 and tcp.port <= 80
前面的为协议类型,如tcp、udp等
协议过滤
比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议,输入HTTP即可。
tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp
排除arp包,如!arp 或者 not arp
DHCP协议的检索规则不是dhcp/DHCP, 而是bootp
http模式过滤
- 过滤get包,
http.request.method=="GET"
- 过滤post包,
http.request.method=="POST"
过滤MAC
太以网头过滤
eth.dst == A0:00:00:04:C5:84
// 过滤目标maceth.src eq A0:00:00:04:C5:84
// 过滤来源maceth.addr eq A0:00:00:04:C5:84
// 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
TCP参数过滤
tcp.flags
显示包含TCP标志的封包。tcp.flags.syn == 0x02
显示包含TCP SYN标志的封包。tcp.window_size == 0 && tcp.flags.reset != 1
特殊符号的使用
- 过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,
ip.src==192.168.101.8 and http
- 过滤两种条件时,使用or连接,如过滤ip为192.168.101.8或者http协议的,
ip.src==192.168.101.8 or http
- less than 小于 < lt
- 小于等于 le
- 等于 eq
- 大于 gt
- 大于等于 ge
- 不等 ne
最后,补充一下好的网址:https://blog.csdn.net/wojiaopanpan/article/details/69944970
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Qidangge的小小世界!