2. 程式人生 > >捕捉過濾器(CaptureFilters)和顯示過濾器(DisplayFilters)--Wireshark Wireshark的基本使用——過濾器

捕捉過濾器(CaptureFilters)和顯示過濾器(DisplayFilters)--Wireshark Wireshark的基本使用——過濾器

阿新 發佈:2019-01-14

Wireshark的基本使用——過濾器

 

前言

網路上關於Wireshark的教程已有不少,博主就簡單介紹一下Wireshark分析資料包時最重要的技巧之一的過濾器。。一次性嗅探到的資料包有很多,想要高效地提取出你想要的資料包或者對某個資料包中某個欄位值的分析等,必不可少的就是過濾。過濾器分為捕捉過濾器(CaptureFilters)顯示過濾器(DisplayFilters)

回到目錄

捕捉過濾器

用於決定將什麼樣的資訊記錄在捕捉結果中,需要在開始捕捉前設定

語法

Protocol Direction Host(s) Value Logical Operations Other Expression
tcp dst 10.1.1.1 80 and tcp dst 10.1.1.2 3289

  • Protocol(協議)

    可能的值: ether, fddi, ip, arp, rarp, decnet, tcp and udp等。如果沒有特別指明是什麼協議,則預設使用所有支援的協議

  • Direction(方向)

    可能的值: src, dst, src and dst, src or dst。如果沒有特別指明來源或目的地,則預設使用 “src or dst” 作為關鍵字
    比如:”host 10.2.2.2″與”src or dst host 10.2.2.2″是一樣的

  • Host(s)

    可能的值: net, port, host, portrange。如果沒有指定此值,則預設使用”host”關鍵字

    比如:"src 10.1.1.1"與”src host 10.1.1.1″相同

  • Logical Operations(邏輯運算)

    可能的值:not, and, or

    否("not")具有最高的優先順序。或("or")和與("and")具有相同的優先順序,運算時從左至右進行。
    例如,
    "not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
    "not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

捕獲過濾器例子

顯示目的TCP埠為3128的封包

tcp dst port 3128

顯示來源IP地址為10.1.1.1的封包

ip src host 10.1.1.1

顯示目的或來源IP地址為10.1.2.3的封包

host 10.1.2.3

顯示來源為UDP或TCP,並且埠號在2000至2500範圍內的封包

src portrange 2000-2500

顯示除了icmp以外的所有封包

not icmp

顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示源IP為10.4.1.12或源網路為10.6.0.0/16,目的TCP 埠號在200至10000之間,並且目的位於網路 10.0.0.0/8內所有封包

(src host 10.4.1.12 or scr net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕獲廣播流量

broadcast
回到目錄

顯示過濾器

在捕捉的結果中進行詳細查詢時使用,可以在得到捕捉結果後隨意修改顯示過濾器表示式。

語法

Protocol . String1 . String2 Comparison Operator Value Logical Operations Other Expression
ftp . passive . ip == 10.1.1.1 xor icmp.type

  • Protocol(協議)

    位於OSI模型第2至7層的協議,如:IP、TCP、DNS等

  • String1,String2(可選項)

    協議的子類

  • Comparison Operator(比較運算子)

    可以使用6種比較運算子

    英文寫法 C語言寫法 含義
    eq == 等於
    ne != 不等於
    gt > 大於
    lt < 小於
    ge >= 大於等於
    le <= 小於等於

  • Logical Operations(邏輯運算子)

    英文寫法 C語言寫法 含義
    and && 邏輯與
    or || 邏輯或
    xor ^^ 邏輯異或
    not ! 邏輯非

    邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時,只有當且僅當其中的一個條件滿足時,這樣的結果才會被顯示在螢幕上

    例如:"tcp.dstport 80 xor tcp.dstport 1025"

    只有當目的TCP埠為80或者來源於埠1025(但又不能同時滿足這兩點)時,這樣的資料包才會被顯示

顯示過濾器例子

顯示SNMP或DNS或ICMP封包

snmp || dns || icmp

顯示來源或目的IP地址為10.1.1.1的封包

ip.addr == 10.1.1.1

顯示來源不為10.1.2.3或目的不為10.4.5.6的包

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來源或目的TCP埠號為25的封包

tcp.port == 25

顯示目的TCP埠號為25的封包

tcp.dstport == 25

顯示包含TCP標誌的封包

tcp.flags

顯示包含TCP SYN標誌的封包

tcp.flags.syn == 1

排除arp流量

!arp

文字管理流量(telnet或ftp)

tcp.port == 23 || tcp.port == 21
回到目錄

兩種過濾器的區別

可以看出這兩種過濾器在使用和功能上有著區別:

  • 捕捉過濾器是資料經過的第一層過濾器,它用於控制捕捉資料的數量,以避免產生過大的日誌檔案。而顯示過濾器是在對捕獲結果進行篩選時使用,允許我們在日誌檔案中迅速準確地找到所需要的記錄。
  • 捕捉過濾器必須在捕捉資料包之前設定,若是捕捉的資料包不是我們想要的,需要重新設定捕捉過濾器並重新捕捉資料包。顯示過濾器的功能比捕捉過濾器更為強大,可以重複設定表示式對捕獲的結果重複篩選而不需要重新捕獲資料包。
回到目錄

跟蹤TCP流

處理TCP協議時,想檢視TCP流中的應用層資料,"Following TCP streams"功能將會很有用。
如檢視ftp流的命令控制或者資料控制資訊。或者僅僅只需要一個顯示過濾來顯示某個TCP流的包。這些都可以通過Wireshark的"Following TCP streams"功能來實現。 
Follow Tcp Stream會裝入一個過濾來選擇你已經選擇的TCP流的所有包。

小結

對於Wireshark的使用推薦:

參考:https://openmaniak.com/cn/wireshark_filters.php

多實踐多分析~

前言

網路上關於Wireshark的教程已有不少,博主就簡單介紹一下Wireshark分析資料包時最重要的技巧之一的過濾器。。一次性嗅探到的資料包有很多,想要高效地提取出你想要的資料包或者對某個資料包中某個欄位值的分析等,必不可少的就是過濾。過濾器分為捕捉過濾器(CaptureFilters)顯示過濾器(DisplayFilters)

回到目錄

捕捉過濾器

用於決定將什麼樣的資訊記錄在捕捉結果中,需要在開始捕捉前設定

語法

Protocol Direction Host(s) Value Logical Operations Other Expression
tcp dst 10.1.1.1 80 and tcp dst 10.1.1.2 3289

  • Protocol(協議)

    可能的值: ether, fddi, ip, arp, rarp, decnet, tcp and udp等。如果沒有特別指明是什麼協議,則預設使用所有支援的協議

  • Direction(方向)

    可能的值: src, dst, src and dst, src or dst。如果沒有特別指明來源或目的地,則預設使用 “src or dst” 作為關鍵字
    比如:”host 10.2.2.2″與”src or dst host 10.2.2.2″是一樣的

  • Host(s)

    可能的值: net, port, host, portrange。如果沒有指定此值,則預設使用”host”關鍵字

    比如:"src 10.1.1.1"與”src host 10.1.1.1″相同

  • Logical Operations(邏輯運算)

    可能的值:not, and, or

    否("not")具有最高的優先順序。或("or")和與("and")具有相同的優先順序,運算時從左至右進行。
    例如,
    "not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。
    "not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

捕獲過濾器例子

顯示目的TCP埠為3128的封包

tcp dst port 3128

顯示來源IP地址為10.1.1.1的封包

ip src host 10.1.1.1

顯示目的或來源IP地址為10.1.2.3的封包

host 10.1.2.3

顯示來源為UDP或TCP,並且埠號在2000至2500範圍內的封包

src portrange 2000-2500

顯示除了icmp以外的所有封包

not icmp

顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示源IP為10.4.1.12或源網路為10.6.0.0/16,目的TCP 埠號在200至10000之間,並且目的位於網路 10.0.0.0/8內所有封包

(src host 10.4.1.12 or scr net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

捕獲廣播流量

broadcast
回到目錄

顯示過濾器

在捕捉的結果中進行詳細查詢時使用,可以在得到捕捉結果後隨意修改顯示過濾器表示式。

語法

Protocol . String1 . String2 Comparison Operator Value Logical Operations Other Expression
ftp . passive . ip == 10.1.1.1 xor icmp.type

  • Protocol(協議)

    位於OSI模型第2至7層的協議,如:IP、TCP、DNS等

  • String1,String2(可選項)

    協議的子類

  • Comparison Operator(比較運算子)

    可以使用6種比較運算子

    英文寫法 C語言寫法 含義
    eq == 等於
    ne != 不等於
    gt > 大於
    lt < 小於
    ge >= 大於等於
    le <= 小於等於

  • Logical Operations(邏輯運算子)

    英文寫法 C語言寫法 含義
    and && 邏輯與
    or || 邏輯或
    xor ^^ 邏輯異或
    not ! 邏輯非

    邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時,只有當且僅當其中的一個條件滿足時,這樣的結果才會被顯示在螢幕上

    例如:"tcp.dstport 80 xor tcp.dstport 1025"

    只有當目的TCP埠為80或者來源於埠1025(但又不能同時滿足這兩點)時,這樣的資料包才會被顯示

顯示過濾器例子

顯示SNMP或DNS或ICMP封包

snmp || dns || icmp

顯示來源或目的IP地址為10.1.1.1的封包

ip.addr == 10.1.1.1

顯示來源不為10.1.2.3或目的不為10.4.5.6的包

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來源或目的TCP埠號為25的封包

tcp.port == 25

顯示目的TCP埠號為25的封包

tcp.dstport == 25

顯示包含TCP標誌的封包

tcp.flags

顯示包含TCP SYN標誌的封包

tcp.flags.syn == 1

排除arp流量

!arp

文字管理流量(telnet或ftp)

tcp.port == 23 || tcp.port == 21
回到目錄

兩種過濾器的區別

可以看出這兩種過濾器在使用和功能上有著區別:

  • 捕捉過濾器是資料經過的第一層過濾器,它用於控制捕捉資料的數量,以避免產生過大的日誌檔案。而顯示過濾器是在對捕獲結果進行篩選時使用,允許我們在日誌檔案中迅速準確地找到所需要的記錄。
  • 捕捉過濾器必須在捕捉資料包之前設定,若是捕捉的資料包不是我們想要的,需要重新設定捕捉過濾器並重新捕捉資料包。顯示過濾器的功能比捕捉過濾器更為強大,可以重複設定表示式對捕獲的結果重複篩選而不需要重新捕獲資料包。
回到目錄

跟蹤TCP流

處理TCP協議時,想檢視TCP流中的應用層資料,"Following TCP streams"功能將會很有用。
如檢視ftp流的命令控制或者資料控制資訊。或者僅僅只需要一個顯示過濾來顯示某個TCP流的包。這些都可以通過Wireshark的"Following TCP streams"功能來實現。 
Follow Tcp Stream會裝入一個過濾來選擇你已經選擇的TCP流的所有包。

小結

對於Wireshark的使用推薦:

參考:https://openmaniak.com/cn/wireshark_filters.php

多實踐多分析~

相關推薦

html2canvas生成圖片圖片樣式顯示樣式不一致

UNC ott function true 有用 splay scrip then gin //引入 <script src="/static/webadmin/js/html2canvas.min.js"></script> <a

捕捉過濾器CaptureFilters顯示過濾器DisplayFilters--Wireshark Wireshark基本使用——過濾器

Wireshark的基本使用——過濾器   前言 網路上關於Wireshark的教程已有不少,博主就簡單介紹一下Wireshark分析資料包時最重要的技巧之一的過濾器。。一次性嗅探到的資料包有很多,想要高效地提取出你想要的資料包或者對某個資料包中某個欄位值的分析等,必不可少的

過濾器Filter攔截器Interceptor的區別

一、過濾器(Filter) 1.含義 它依賴於servlet容器,配置於web.xml。 Servlet中的過濾器Filter是實現了javax.servlet.Filter介面的伺服器端程式,主要的用途是設定字符集、控制權限、控制轉向、做一些業務邏輯判斷等。在實現上,基於函式回撥,它可

過濾器Filter攔截器Interceptor

Filter介紹 Filter可以認為是Servlet的一種“加強版”,它主要用於對使用者請求進行預處理,也可以對HttpServletResponse進行後處理,是個典型的處理鏈。Filter也可以對使用者請求生成響應,這一點與Servlet相同,但實際上很少

過濾器filter攔截器intercept的區別

面向切面程式設計(AOP是Aspect OrientedProgram的首字母縮寫),我們知道,面向物件的特點是繼承、多型和封裝。而封裝就要求將功能分散到不同的物件中去,這在軟體設計中往往稱為職責分配。實際上也就是說,讓不同的類設計不同的方法。這樣程式碼就分散到一個個的類中去了。這樣做的好處是降低了程式碼的複

內建鎖隱式鎖顯示

1.內建鎖: (1)原理:通過內部的一個叫做監視器鎖的原理來實現的,但是監視器鎖本質又是依賴於底層的作業系統的Mutes Lock來實現的,作業系統之間實現執行緒的切換需要從使用者態轉換到核心態,這個成本非常高,狀態之間轉換需要很長的時間,所以內建鎖效率較低。

No dashboards are active for the current data set. 解決tensorboard無法啟動顯示問題pycharm啟動

我在學習過程中遇到了tensorboard無法啟動的問題。 按照網上的教程,我無法正常啟動tensorboard,全過程沒有報錯,但是開啟tensorboard顯示 No dashboards are active for the current data set. 如下圖: &

fso獲取資料夾下檔案個數顯示檔名無後綴

 感謝sayhito333提供給我這段程式碼,為表示感謝,不修改其宣傳性的函式名了,呵呵! <%path = "database/"sub sayhito333(path)dim fsodim objFolderdim objFilesdim objFiledi

C# 中的異常捕捉try異常處理catch

        為了捕捉異常,程式碼要放到一個 try 塊中(try 是 C# 關鍵字)。程式碼執行時它會嘗試執行 try 塊內的所有語句。如果沒有任何語句產生一個異常,這些語句將一個接一個執行,直到全部完成。然而,一旦出現異常,就會跳出 try 塊,並進入一個 catch 處理程式中執行。      

抽象類abstract class接口interface有什麽異同?

否則 繼承 默認 strong 什麽 成員 -s 實例 abstract 相同點: 1.抽象類和接口都不能被實例化,但可以定義抽象類和接口類型的引用。 2.一個類如果繼承了抽象類和接口,必須要對其中的抽象方法全部實現。(接口中方法默認的是public abstract修飾的

同步Synchronous異步Asynchronous

就會 一個 方法調用 這一 開始 訂單 必須 通知 下單 同步和異步通常用來形容一次方法調用。同步方法調用一旦開始,調用者必須等到方法調用返回後,才能繼續後續的行為。異步方法調用更像一個消息的傳遞,一旦開始,方法調用就會立即返回,調用者就可以繼續後續的操作。而異步方法通常會

java String長度與varchar長度匹配理解字符字節長度理解

轉化 筆記 指定 是我 有一個 ati 法語 itl 情況 java String長度與varchar長度匹配理解(字符和字節長度理解) string中的length()長度,返回的是char的數量,每個char可以存儲世界上任何類型的文字和字符,一個char 而

C語言中存儲類別又分為四類:自動auto、靜態static、寄存器的register外部的extern

字符變量 修飾 例如 register ext 進行 適合 sta -- 除法運算中註意: 如果相除的兩個數都是整數的話,則結果也為整數,小數部分省略,如8/3 = 2;而兩數中有一個為小數,結果則為小數,如:9.0/2 = 4.500000。 取余運算中註意: 該運算只適

SpringMVC中文件的上傳上傳到服務器下載問題--------下載

cat exc stream log trac close pri page fin 一、建立一個簡單的jsp頁面。 我們在建好的jsp的頁面中加入一個超鏈接:<a href="${pageContext.request.contextPath}/down

maven可選依賴Optional Dependencies依賴排除Dependency Exclusions

許可 mave manage spa 兩個 傳遞 方式 mis ont 我們知道,maven的依賴關系是有傳遞性的。如:A-->B,B-->C。但有時候,項目A可能不是必需依賴C,因此需要在項目A中排除對A的依賴。在maven的依賴管理中,有兩種方式可以對依賴關

LeetCode 380. Insert Delete GetRandom O(1) 插入刪除獲得隨機數 常數時間

delet size 利用 eat www. random called ret runtime Design a data structure that supports all following operations in average O(1) time.

UI自動化測試瀏覽器操作及對元素的定位方法xpath定位css定位詳解

cli 刷新 ota api enter 版本 ror apache 窗口 Selenium下的Webdriver工具支持FireFox(geckodriver)、 IE(InternetExplorerDriver)、Chrome(ChromeDriver)、 Opera

使用PHP做分頁查詢查詢結果也顯示為分頁

val nas put post borde cnblogs cin span state 1.先把數據庫裏所有的數據分頁顯示在頁面,並在顯示數據的表格上方加上查詢表單。(加上條件,實現目標結果。) <!DOCTYPE html PUBLIC "-//W3C//DT

Linux運維之道之admin1.4權限歸屬,LADP認證

達內 linux 運維admin admin1.4權限和歸屬:基本權限:基本權限的類別:訪問方式(權限):---讀取:允許查看內容--read (r權限:能夠ls瀏覽此目錄內容)---寫入:允許修改內容--write (w權限:能夠執行rm/mv/cp/mkdir/touch等更

轉發forward重定向redirect的區別

border 新的 狀態 rec nbsp url req red 完成 轉發與重定向的主要區別 轉發 重定向 轉發是服務器行為 重定向是客戶端行為 轉發瀏覽器url不改變 重定向瀏覽器url改變 轉發request請求數據不丟失 重定向request請