2. 程式人生 > >wireshark顯示過濾表達式書寫規律說明

wireshark顯示過濾表達式書寫規律說明

阿新 發佈:2018-07-03
全部 過濾器 80端口 faq 目標 簡單 兩個 有一個 uri

書寫過濾表達式篩選數據包是wireshark使用的精華所在。

剛開始接觸wireshark的時候看到把所有數據包都攔截下來感覺強無敵,但是面對一大堆的數據包要問有什麽用或者說想要找到我想要的那些數據包怎麽找(比如telnet登錄過程的那些數據包)完全是一臉茫然。後來逐漸認識到要寫過濾表達式,但感覺相當復雜,點開wireshark的過濾器表達式看著長長的過濾項頭皮發麻完全不會用,基本每次過濾都百度用得很難受。後來發現wireshark的過濾表達式還是很有規律的,明白規律之後使用就簡單了。

一、基本過濾表達式

一條基本的表達式由過濾項、過濾關系、過濾值三項組成。

比如ip.addr == 192.168.1.1,這條表達式中ip.addr是過濾項、==是過濾關系,192.168.1.1是過濾值(整條表達示的意思是找出所有ip協議中源或目標ip、等於、192.168.1.1的數據包)

1.1 過濾項

初學者感覺的“過濾表達式復雜”,最主要就是在這個過濾項上:一是不知道有哪些過濾項,二是不知道過濾項該怎麽寫。

這兩個問題有一個共同的答案-----wireshark的過濾項是“協議“+”.“+”協議字段”的模式。以端口為例,端口出現於tcp協議中所以有端口這個過濾項且其寫法就是tcp.port。

推廣到其他協議,如eth、ip、http、telnet、ftp、icmp、snmp等等其他協議都是這麽個書寫思路。當然wireshark出於縮減長度的原因有些字段沒有使用協議規定的名稱而是使用簡寫(比如Destination Port在wireshark中寫為dstport)又出於簡使用增加了一些協議中沒有的字段(比如tcp協議只有源端口和目標端口字段,為了簡便使用wireshark增加了tcp.port字段來同時代表這兩個),但思路總的算是不變的。而且在實際使用時我們輸入“協議”+“.”wireshark就會有支持的字段提示,看下名稱就大概知道要用哪個字段了。wireshark支持的全部協議及協議字段可查看官方說明。

1.2 過濾關系

過濾關系就是大於、小於、等於等幾種等式關系,我們可以直接看官方給出的表。註意其中有“English”和“C-like”兩個字段,這個意思是說“English”和“C-like”這兩種寫法在wireshark中是等價的、都是可用的。

技術分享圖片

1.3 過濾值

過濾值就是設定的過濾項應該滿足過濾關系的標準,比如500、5000、50000等等。過濾值的寫法一般已經被過濾項和過濾關系設定好了,只是填下自己的期望值就可以了。

二、復合過濾表達示

所謂復合過濾表達示,就是指由多條基本過濾表達式組合而成的表達示。基本過濾表達式的寫法還是不變的,復合過濾表達示多出來的東西就只是基本過濾表達示的“連接詞”

我們依然直接參照官方給出的表,同樣“English”和“C-like”這兩個字段還是說明這兩種寫法在wireshark中是等價的、都是可用的。

技術分享圖片

三、常見用過濾需求

數據鏈路層:

篩選mac地址為04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26

篩選源mac地址為04:f9:38:ad:13:26的數據包----eth.src == 04:f9:38:ad:13:26

網絡層:

篩選ip地址為192.168.1.1的數據包----ip.addr == 192.168.1.1

篩選192.168.1.0網段的數據---- ip contains "192.168.1"

篩選192.168.1.1和192.168.1.2之間的數據包----ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2

篩選從192.168.1.1到192.168.1.2的數據包----ip.src == 192.168.1.1 && ip.dst == 192.168.1.2

傳輸層:

篩選tcp協議的數據包----tcp

篩選除tcp協議以外的數據包----!tcp

篩選端口為80的數據包----tcp.port == 80

篩選12345端口和80端口之間的數據包----tcp.port == 12345 && tcp.port == 80

篩選從12345端口到80端口的數據包----tcp.srcport == 12345 && tcp.dstport == 80

應用層:

篩選url中包含.php的http數據包----http.request.uri contains ".php"

篩選內容包含username的http數據包----http contains "username"

參考:

官方文檔:https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

wireshark顯示過濾表達式書寫規律說明

相關推薦

wireshark顯示過濾表達書寫規律說明

全部 過濾器 80端口 faq 目標 簡單 兩個 有一個 uri 書寫過濾表達式篩選數據包是wireshark使用的精華所在。 剛開始接觸wireshark的時候看到把所有數據包都攔截下來感覺強無敵,但是面對一大堆的數據包要問有什麽用或者說想要找到我想要的那些數據包怎麽找(

十二、事件,委托,泛型委托,集合(泛型和非泛型),Lambda表達(聲委托,使用委托,簡單的委托示例,action<T>和func<t>委托,多播委托,匿名方法,Lambda表達,參數,事件)

multicast new 調用方法 多播 ted 被調用 輸入參數 pac cas 事件(Event) 事件是一種對象或類能夠提供通知的成員,客戶端可以通過提供事件處理程序為相應的事件可添加可執行代碼,事件可以理解為一種特殊的委托。 委托(Delegate) 委托是存有對

正則表達書寫規則說明

站長 則表達式 這也 china reference 之一 表達 換行 -- 一、說明 我曾經看過無數的正則表達式文章,然而每當我再次需要書寫仍然感覺無從下手,一如既往需要百度“IP正則表達式”、“URL正則表達式”。 反思這種現像的原因,一是很多文章都是授之以魚的比如直接

js入門5-字符的查詢與過濾 加上使用正則表達

表達 indexof arch document string對象 查找 reg 則表達式 fun <h2>5.String對象:字符的查找與過濾</h2> <input type="text" id="txtString

C語言代碼編程題匯總:顯示表達1*2+3*4+...+99*100的表示形式(采取交互的形式)

stdio.h tdi input 字符型 6.0 tro vc++6.0 text class 顯示表達式1*2+3*4+...+99*100的表示形式(采取交互的形式) 程序源代碼如下: 1 /* 2 2017年6月8日08:03:38 3 功能

C語言代碼編程題匯總:顯示表達1*2+3*4+...+9*10的表示形式

clas ron urn ++ class align int c語言代碼 程序 顯示表達式1*2+3*4+...+9*10的表示形式 源程序代碼如下: 1 /* 2 2017年6月7日22:54:51 3 功能:實現1*2+3*4+...+9*10

javascript中函數聲與函數表達的區別

img log 程序 ava 全局對象 匿名函數 全局 分組 pan   javascript中聲明函數的方法有兩種:函數聲明式和函數表達式.究竟他們用起來有什麽區別呢?   區別如下:   (1)、以函數聲明的方法定義的函數,函數名是必須的,而函數表達式的函數名

JavaScript學習總結(三、函數聲表達、this、閉包和引用、arguments對象、函數間傳遞參數)

rem [1] incr foo i++ scrip erro ren 推薦 一、函數聲明和表達式 函數聲明: function test() {}; test(); //運行正常 function test() {}; 函數表達式: var test = fun

javascript語句——表達語句、塊語句、空語句和聲語句

產生 nbsp 之間 turn 指南 console 原來 塊級作用域 r++ 前面的話   如果表達式在javascript中是短語,那麽語句(statement)就是javascript整句或命令。表達式計算出一個值,語句用來執行以使某件事發生。javascript程序

JavaScript 函數聲,函數表達,匿名函數的區別,深入理解立即執行函數(function(){…})()

之前 事件處理程序 logs cnblogs 函數調用 引擎 花括號 ava img function fnName(){xxxx}; // 函數聲明:使用function關鍵字聲明一個函數,在指定一個函數名。 //例如:(正常,因為 提升 了函數聲明,函

js函數聲和函數表達的區別

被調用 cnblogs span fun 作用 con pre 有效 標識 顯而易見的區別: 1.函數聲明必須以function開頭,而函數表達式一定不能以function開頭; 2.函數聲明必須有標識符(函數名),函數表達式可有可無; 其他的區別: 1.函數聲明會將標識符

springmvc maven 入門及頁面拿不到controller的值 顯示${message} el表達不起作用

let 表達 -name hello web 配置 cal ima 顯示 1:參考https://www.cnblogs.com/zhuawang/p/5651896.html 操作完,運行,結果不是後端控制器controller返回的,是index.jsp中的。 因為執行

JS函數聲和函數表達的關系

gpo 創建 s函數 UNC sting script tin style error 1、函數聲明 1 // 函數聲明 2 function funDeclaration(type){ 3 return type==="Declarati

正則表達文本過濾

ima wid 次數 height div http grep 模式 單位 grep文本過濾 1.grep 默認是按照以行為基本單位進行匹配和顯示的。 2.grep默認匹配只要包含模式字符即可 grep -w 是按單詞匹配,和普通的匹配不一致 單詞的分隔

函數聲和函數表達

pan sum AC 必須 調用 ret color func cti 函數聲明是可以先使用後定義的,但函數表達式必須在聲明之後調用 函數聲明(可在函數前調用) function sum(n1,n2){ return n1+n2; } 函數表達式

JavaScript的函數聲與函數表達的區別

rip 存在 bubuko 函數聲明 AS 代碼 fun com ava 1)函數聲明(Function Declaration); // 函數聲明 function funDeclaration(type){ return type===

函數表達和函數聲

答案 並且 ole () 內部 func 錯誤 class 代碼 函數聲明和函數表達式咋眼一看這個名字以為沒有什麽區別,其實還是有很大區別的(特別是用法) 函數聲明是這個樣子的 function fn(){ //代碼塊 } fn(); //調用 函數表達式

java 使用正則表達過濾HTML中標簽

clas 表達式 sage ase .get isempty compile return ins 1 /** 2 * 去掉文本中的html標簽 3 * 4 * @param inputString 5 * @return

為什麽if else 語句裏不能用函數聲定義函數,而可以用函數表達定義函數

java 關鍵字 {} 作用 關系 另一個 else 語法 出錯 在《JavaScript高級程序設計》第三版第7章函數表達式部分講到,定義函數有兩種方式:一種是函數聲明,另一種就是函數表達式。函數聲明的語法是這樣的。function functionName(arg0,

隨機顯示顏色---算術表達(自動識別變量,可以不加$)

紅色 and 圖片 let 黃色 mco random color 藍色 30 40 黑色 31 41 紅色 32 42 綠色 33 43 黃色 34 44 藍色 35 45 紫色 36 46 青色 37 47 白色 let COLOR=RANDOM%8+30;ec