Wireshark 【OSI二層】抓包過濾規則和顯示過濾規則例項
wireshark的主介面示例如下:
抓包規則正確:過濾器對話方塊顯示為“綠色”
抓包規則錯誤:過濾器對話方塊顯示為“橘色”
抓包過濾器
Ethernet過濾器(OSI第二層過濾器)
#ether host 8c:ec:4b:69:a6:a7 抓取乙太網流量的源或目的MAC地址(比如:ether host 00:00:5e:00:53:00)
#ether dst host 8c:ec:4b:69:a6:a7
#ether dst 8c:ec:4b:69:a6:a7 抓取乙太網流量的目的MAC地址
#ether src 8c:ec:4b:69:a6:a7 抓取乙太網流量的源的MAC地址
#ether broadcast 抓取乙太網廣播流量
#ether multicast 抓取乙太網多播流量
#ether proto XXXX 所抓乙太網流量的乙太網協議型別編號(比如:ether proto 0x0806)
#vlan 206 只抓取指定VLAN的流量
note:抓取希望抓取的資料包是否成功,除了必須有正確的抓包規則之外,部署抓包工具在合適的網路位置也是必不可少的原則。因為,當前測試PC部署的位置原因,這裡是抓取不到vlan 206 報文的,所以沒有抓取結果截圖,不過沒有關係我們依然可以通過顏色來判斷,語法是正確的;
常見的乙太網協議型別欄位
0x0800 IP
0x0806 ARP
0x8137 Novell IPX
0x809b Apple Talk
0x8864 PPPoE
0x8100 802.1Q
0x86DD IPV6
0x8847 MPLS Label
0x0000 - 0x05DC IEEE 802.3
0x0101 – 0x01FF 實驗
0x0600 XEROX NS IDP
0x0660 DLOG
0x0661 DLOG
0x0801 X.75 Internet
0x0802 NBS Internet
0x0803 ECMA Internet
0x0804 Chaosnet
0x0805 X.25 Level 3
0x0808 幀中繼 ARP (Frame Relay ARP) [RFC1701]
0x6559 原始幀中繼(Raw Frame Relay) [RFC1701]
0x8035 動態 DARP (DRARP:Dynamic RARP)
反向地址解析協議(RARP:Reverse Address Resolution Protocol)
0x8037 Novell Netware IPX
0x809B EtherTalk
0x80D5 IBM SNA Services over Ethernet
0x80F3 AppleTalk 地址解析協議(AARP:AppleTalk Address Resolution Protocol)
0x8100 乙太網自動保護開關(EAPS:Ethernet Automatic Protection Switching)
0x8137 因特網包交換(IPX:Internet Packet Exchange)
0x814C 簡單網路管理協議(SNMP:Simple Network Management Protocol)
0x86DD 網際協議v6 (IPv6,Internet Protocol version 6)
0x880B 點對點協議(PPP:Point-to-Point Protocol)
0x 880C 通用交換管理協議(GSMP:General Switch Management Protocol)
0x8847 多協議標籤交換(單播) MPLS:Multi-Protocol Label Switching <unicast>)
0x8848 多協議標籤交換(組播)(MPLS, Multi-Protocol Label Switching <multicast>)
0x8863 乙太網上的 PPP(發現階段)(PPPoE:PPP Over Ethernet <Discovery Stage>)
0x8864 乙太網上的 PPP(PPP 會話階段) (PPPoE,PPP Over Ethernet<PPP Session Stage>)
0x88BB 輕量級訪問點協議(LWAPP:Light Weight Access Point Protocol)
0x88CC 連結層發現協議(LLDP:Link Layer Discovery Protocol)
0x8E88 區域網上的 EAP(EAPOL:EAP over LAN)
0x9000 配置測試協議(Loopback)
0x9100 VLAN 標籤協議識別符號(VLAN Tag Protocol Identifier)
0x9200 VLAN 標籤協議識別符號(VLAN Tag Protocol Identifier)
#ether proto 0x0806
#proto 0x80F3
#not broadcast and not multicast 不抓取廣播和多播資料包(只抓取單播包)
Ethernet過濾器(OSI第二層顯示過濾器)
#ether host 8C-EC-4B-69-A6-A7 --抓取主機MAC 是8C-EC-4B-69-A6-A7的所有資料包
#tcp
#eth.addr eq 84:b8:02:1a:b2:ff and eth.addr eq 8c:ec:4b:69:a6:a7
#eth.type == 0x0800
OSI的二層wireshark 抓包和顯示過濾規則還有非常多的應用場景,這裡只是列舉部分示例,想要深入的賬號這些規則和用法還需要多實踐。