Wiresahrk抓包過濾技術(shù)

一、抓包過濾器

捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設(shè)置
顯示過濾器（DisplayFilters）：在捕捉結(jié)果中進(jìn)行詳細(xì)查找。他們可以在得到捕捉結(jié)果后隨意修改

捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件
顯示過濾器是一種更為強(qiáng)大（復(fù)雜）的過濾器。它允許您在日志文件中迅速準(zhǔn)確地找到所需要的記錄

語法：    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression
例子：       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

協(xié)議:ether、 ip、arp、 rarp、tcp and udp等（沒有特別指明什么協(xié)議，默認(rèn)抓取所有協(xié)議）
方向:src、dst、 src and dst（沒有特別指明源或目的地，默認(rèn)為 “src or dst” 作為關(guān)鍵字）

類型:net、 port、host、portrange（沒有指定此值，默認(rèn)使用”host”關(guān)鍵字）
邏輯運(yùn)算符:not非！、 and與||、 or或&&

src portrange 2000-2500顯示來源為UDP或TCP，并且端口號在2000至2500范圍內(nèi)的封包

抓包過濾器操作步驟

二、流量不大的時候使用顯示過濾器

語法：    Protocol.String 1.String 2 Comparisonoperator    Value    LogicalOperations 
例子：    ip.src.addr             ==        10.1.1.1    and  

==等于
！=不等于
>=大于等于
<=小于等于
and兩個條件同時滿足
or其中一個條件被滿足
not沒有條件被滿足

IP地址:ip.addr、ip.src、ip.dst
端口過濾:tcp.port、tcp.srcport、tcp.flag.syn等

顯示過濾器操作步驟

如果不熟悉表達(dá)式

1、過濾端口
tcp.port == 80 #不管端口是來源的還是目標(biāo)的都顯示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只顯tcp協(xié)議的目標(biāo)端口80
tcp.srcport == 80 #只顯tcp協(xié)議的來源端口80
tcp.port >= 1 and tcp.port <= 80 #過濾端口范圍

2、過濾MAC
太以網(wǎng)頭過濾
eth.dst == E4:D5:3D:A2:64:95 #過濾目標(biāo)MAC
eth.src eq E4:D5:3D:A2:64:95 #過濾來源MAC
eth.addr eq E4:D5:3D:A2:64:95 #過濾來源MAC和目標(biāo)MAC都等于A0:00:00:04:C5:84的
!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC

3、過濾IP
ip.src == 192.168.0.104 過濾ip為192.168.0.104

4、包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數(shù)據(jù)包之和
tcp.len >= 7   指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身
ip.len == 94 除了以太網(wǎng)頭固定長度14,其它都算是ip.len,即從ip本身到最后
frame.len == 119 整個數(shù)據(jù)包長度,從eth開始到最后
eth —> ip or arp —> tcp or udp —> data

5、http模式過濾
http.request.method == GET
http.request.method == POST
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

6、DHCP
以尋找偽造DHCP服務(wù)器為例，在顯示過濾器中加入過濾規(guī)則，
顯示所有非來自DHCP服務(wù)器并且bootp.type==0x02（Offer/Ack/NAK）的信息：
bootp.type==0x02 and not ip.src==192.168.1.1

7、查看DNS流量

dns.flags==0x0100

https://wiki.wireshark.org/CaptureFilters

Network monitor：通過一個內(nèi)建程序來執(zhí)行的網(wǎng)絡(luò)分析器（該程序在操作系統(tǒng)安裝盤的“administrator Tool”文件夾中，但它不是默認(rèn)安裝的，因此需要從安裝盤中添加安裝）

QQ文件無法訪問
1、通過Network monitor獲取到軟件的交互數(shù)據(jù)IP和端口范圍
(此Network monitor類似wireshark抓包工具)
2、將數(shù)據(jù)包導(dǎo)入到wireshark里面進(jìn)行分析
3、通過IP和端口等條件對數(shù)據(jù)包進(jìn)行過濾
4、根據(jù)數(shù)據(jù)流，對數(shù)據(jù)流進(jìn)行分析

本篇文字不能涵蓋wireshark所有功能只是為了基礎(chǔ)者提供使用方式