Wireshark 【OSI三層】抓包過濾規則和顯示過濾規則例項
本文列舉wireshark 常用的OSI三層抓包和顯示過濾規則.
Wireshark Information
封包詳細資訊 (Packet Details Pane)
這個面板是我們最重要的,用來檢視協議中的每一個欄位。
各行資訊分別為
Frame: 物理層的資料幀概況
Ethernet II: 資料鏈路層乙太網幀頭部資訊
Internet Protocol Version 4: 網際網路層IP包頭部資訊
Transmission Control Protocol: 傳輸層T的資料段頭部資訊,此處是TCP
Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協議
wireshark與對應的OSI七層模型
wireshark 常用快捷鍵可以檢視上一篇“二層抓包過濾文章”
一、抓包過濾表示式的規則(OSI 三層)
#ip/ipv6 只抓取IPv4或IPv6的資料包
#IPV6 抓包規則
#host X.X.X.X 只抓取源於或發往所指定的主機名或IP地址的流量(比如:host 192.168.1.1)
host 172.18.202.248
備註:對於同一個目標抓取報文,既可以抓取二層抓取規則,也可以採用三層抓取規則,其結果是一樣的;
#dst host X.X.X.X 只抓取發往所指定的主機名或IP地址的流量
dst host 172.18.202.248 = dst 172.18.202.248
#src host X.X.X.X 只抓取源於所指定的主機名或IP地址的流量
src host 172.18.202.248
#gateway X.X.X.X 只抓穿過host的流量
#net X.X.X.X 只抓取源於或發往識別符號的IPv4huoIPv6網路號的流量(比如:net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 )
net 172.18.202.0/24
net X.X.X.X = 【dst net X.X.X.X + src net X.X.X.X】
#dst net X.X.X.X 只抓取發往識別符號的IPv4huoIPv6網路號的流量
dst net 172.22.202.0/24
#src net X.X.X.X 只抓取源於識別符號的IPv4huoIPv6網路號的流量
src net 172.18.18.0/24
broadcast 只抓取IP廣播包
ip broadcast
multicast 只抓取IP多播包
ip6 multicast
ip multicast
@混合表示式過濾規則
ip host 172.18.202.248 and icmp
src host 172.18.202.248 or arp
src host 172.18.202.248 or (arp and !broadcast )
src host 172.18.202.248 or ( (arp and !broadcast ) and ! tcp)
src host 172.18.202.248 and ( (arp and !broadcast ) and ! tcp)
net 172.18.202.0/24 and (arp and !broadcast ) or ! tcp
net 172.18.200.0/21 and ether src 8C-EC-4B-69-A6-A7 and arp
二、顯示過濾表示式的規則(OSI 三層)
混合表示式示例
ip.addr == 172.18.202.248 and not tcp.port in {80 25 1433}
--過濾顯示ip等於172.18.202.248 並且 tcp埠不是80、25、1433的報文;
#ip proto XX 只抓取IP報頭的協議型別欄位值等於特定值的資料包
ip.proto
ip.proto and tcp or http
tcp.dstport == 80
#ip6 proto xx 只抓取IPv6報頭的協議型別欄位值等於特定值的資料包
ICMP
#TCP or udp
ip.proto == 6
ip.proto == 2
常見的DNS顯示過濾器
讓Wireshark只顯示DNS查詢和DNS響應資料包
dns.flags.response== 0 (DNS 查詢)
dns.flags.response== 1(DNS 響應)
dns
ip.proto == 25
=========
常見的協議型別欄位值
1 ICMP
2 IGMP
6 TCP
17 UDP
47 GRE
88 EIGRP
89 OSPF
112 VRRP
好了,今天就列舉這麼多,希望能對閱讀者有所幫助。學以致用,多實踐多總結。