wireshark抓包工具常用篩選命令方法
Wireshark過濾規(guī)則使用
一����、 MAC地址過濾
命令匯總:
eth.addr==20:dc:e6:f3:78:cc
eth.src==20:dc:e6:f3:78:cc
eth.dst==20:dc:e6:f3:78:cc
1、根據(jù)MAC地址進(jìn)行篩選
使用命令:eth.addr==20:dc:e6:f3:78:cc
命令解說:篩選出MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包�����,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部數(shù)據(jù)包����。
2�����、根據(jù)源MAC地址篩選
使用命令:eth.src==20:dc:e6:f3:78:cc
命令解說:篩選出源MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包
3����、根據(jù)目的MAC地址篩選
使用命令:eth.dst==20:dc:e6:f3:78:cc
命令解說:篩選出目的MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包�����。
二�����、 IP地址過濾
ip.addr==192.168.1.122 //根據(jù)IP地址篩選����,包括源ip或者目的IP
ip.src==192.168.1.122 //根據(jù)源IP地址篩選
ip.dst==192.168.1.122 //根據(jù)目的IP地址篩選
1����、根據(jù)IP地址進(jìn)行篩選
使用命令:ip.addr==192.168.1.122
命令解說:篩選出IP地址是192.168.1.122的數(shù)據(jù)包,包括源IP地址或者目的IP地址使用的是192.168.1.122的全部數(shù)據(jù)包�����。
2、根據(jù)源IP地址篩選
使用命令:ip.src==182.254.110.91
命令解說:篩選出源IP地址是182.254.110.91的數(shù)據(jù)包
3����、根據(jù)目的IP地址篩選
使用命令:ip.dst==192.168.1.122
命令解說:篩選出目的地址是192.168.1.122的數(shù)據(jù)包。
三�����、 端口過濾
端口過濾�����。如過濾80端口�����,在Filter中輸入����,tcp.port==80,這條規(guī)則是把源端口和目的端口為80的都過濾出來����。使用tcp.dstport==80只過濾目的端口為80的����,tcp.srcport==80只過濾源端口為80的包����;
tcp.port==80 //根據(jù)TCP端口篩選數(shù)據(jù)包,包括源端口或者目的端口
tcp.dstport==80 //根據(jù)目的TCP端口篩選數(shù)據(jù)包����。
tcp.srcport==80 //根據(jù)源TCP端口篩選數(shù)據(jù)包。
udp.port==4010 //根據(jù)UDP端口篩選數(shù)據(jù)包�����,包括源端口或者目的端口
udp.srcport==4010 //根據(jù)源UDP端口篩選數(shù)據(jù)包����。
udp.dstport==4010 //根據(jù)目的UDP端口篩選數(shù)據(jù)包�����。
1����、篩選TCP端口
使用命令:tcp.port==80
命令解說:篩選出TCP端口是80通信的數(shù)據(jù)包����,包括源端口使用TCP 80或者目的端口使用tcp 80端口的數(shù)據(jù)包�����。
2����、篩選目的端口數(shù)據(jù)包
使用命令:tcp.dstport==80
命令解說:篩選出目的端口使用的是TCP 80通信的數(shù)據(jù)包
3、篩選源端口數(shù)據(jù)包
使用命令:tcp.srcport==80
命令解說:篩選出源端口是采用tcp 80端口的數(shù)據(jù)包�����。
四����、 協(xié)議篩選
根據(jù)通訊協(xié)議進(jìn)行篩選數(shù)據(jù)包,例如http協(xié)議�����、ftp協(xié)議等等�����。常用協(xié)議有下:
udp
tcp
arp
icmp
smtp
pop
dns
ip
ssl
http
ftp
telnet
ssh
rdp
rip
ospf
1、篩選出http協(xié)議數(shù)據(jù)包
協(xié)議篩選相對來說比較簡單����,直接在過濾窗口(filter)輸入?yún)f(xié)議即可。例如篩選出http協(xié)議的數(shù)據(jù)如下圖:
注意:在進(jìn)行協(xié)議篩選的時(shí)候�����,協(xié)議名稱一定要寫成小寫����,否則會(huì)出錯(cuò)的。
2����、篩選出http的GET數(shù)據(jù)包
使用命令:http.request.method==GET
命令解說:篩選出http協(xié)議采用get方式的數(shù)據(jù)包。注意GET一定要寫成大寫�����,否則篩選不出來的�����。
3�����、篩選出http的POST數(shù)據(jù)包�����。
使用命令: http.request.method==POST
命令解說:篩選出采用http協(xié)議的post方式的數(shù)據(jù)包����,注意POST參數(shù)一定要寫成大寫的,否則篩選不出來數(shù)據(jù)����。
五、邏輯條件組合篩選
邏輯表達(dá)式匯總:
|| //邏輯或
&& //邏輯與
! //邏輯非
1�����、邏輯與篩選方法
使用命令:ip.src==192.168.1.122&&ip.dst==121.114.244.119
命令解說:篩選出源ip地址是192.168.1.122并且目的地址是121.114.244.119的數(shù)據(jù)包����。在使用的時(shí)候也可以用括號進(jìn)行包含區(qū)分,上面的命令也可以等價(jià)于以下命令
(ip.src==192.168.1.122)&&(ip.dst==121.114.244.119)
2�����、邏輯或篩選
使用命令:ip.src==192.168.1.122||ip.src==182.254.110.91
命令解說:篩選出源IP地址是192.168.1.122或者源ip地址是182.254.110.91的數(shù)據(jù)包
3、邏輯非篩選
使用命令:!(ip.addr==192.168.1.122)
命令解說:篩選出不是192.168.1.122的數(shù)據(jù)包����。
