Wireshark 过滤器语法 - 粪球

标签: wireshark 过滤器 语法 | 发表时间:2015-05-20 14:55 | 作者:粪球
出处:

 wireshark有两种过滤器:

 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。

捕捉过滤器 (此过滤器不需要比较运算符,查询关键字请全部小写)

 

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。

 

设置捕捉过滤器的步骤是:-选择capture->options。

-填写"capturefilter"栏或者点击"capturefilter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。-点击开始(Start)进行捕捉。

 

例子:

1.      tcp dst port 3128

 

显示目的TCP端口为3128的封包。

 

2. Ip src host10.1.1.1

显示来源IP地址为10.1.1.1的封包。

 

3. Host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

4. Src portrange 2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

5. Not imcp  --同样于显示过滤器

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

6. src host 10.7.2.12 and not dst net10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net10.6.0.0/16) and tcp dst portrange200-10000 and dst net10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

 

显示过滤器 (支持比较运算符,关键字全部小写)

 

通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。

Protocol(协议):

您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。

比如:IP,TCP,DNS,SSH

 

Wireshark的网站提供了对各种协议以及它们子类的说明。String1,String2(可选项):

协议的子类。

 

同样也支持英文写法: 如tcp.flags.fin eq 1

 

Logicalexpression(逻辑运算符):

 And &&逻辑与

Or || 逻辑或    -- 实际使用时,or, ||效果是一样的。

xor^^逻辑异或 – 好像不支持。

not!逻辑非

 

被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。让我们举个例子:

tcp.dstport == 80 || tcp.dstport == 1025 –成功

tcp.dstport == 80 && tcp.dstport == 1025  --成功

tcp.dstport == 80 ^^ tcp.dstport == 1025 –失败(只有当目的TCP端口为80或者来源于端口1025(但又不能同时满足这两点)时,这样的封包才会被显示。)

 

更多例子:

2.      snmp||dns||icmp显示SNMP或DNS或ICMP封包。

3.      ip.addr==10.1.1.1

显示来源或目的IP地址为10.1.1.1的封包。

4.      ip.src!=10.1.2.3 or ip.dst!=10.4.5.6  --背景显示为yellow,表示有可能会有非预期的结果出现

显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。换句话说,显示的封包将会为:

来源IP:除了10.1.2.3以外任意;目的IP:任意以及

来源IP:任意;目的IP:除了10.4.5.6以外任意

 

5.      ip.src!=10.1.2.3 and ip.dst!=10.4.5.6  --背景显示为yellow,表示有可能会有非预期的结果出现

 

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。换句话说,显示的封包将会为:

来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意

6.      tcp.port==25 显示来源或目的TCP端口号为25的封包。

7.      tcp.dstport==25显示目的TCP端口号为25的封包。

8.      tcp.flags显示包含TCP标志的封包。tcp.flags.syn==0x02显示包含TCPSYN标志的封包。

 

捕捉过滤器--捕捉前依据协议的相关信息进行过滤设置

 

语法: Protocol Direction Host(s) Value Logical Operations Other expression 例子: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128

 

示例:

 

(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

 

捕捉IP为10.4.1.12或者源IP位于网络10.6.0.0/16,目的IP的TCP端口号在200至10000之间,并且目的IP位于网络 10.0.0.0/8内的所有封包。

 

字段详解:

Protocol(协议): 可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没指明协议类型,则默认为捕捉所有支持的协议。 注:在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。

Direction(方向): 可能值: src, dst, src and dst, src or dst 如果没指明方向,则默认使用 “src or dst” 作为关键字。 ”host 10.2.2.2″与”src or dst host 10.2.2.2″等价。

Host(s): 可能值: net, port, host, portrange. 默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。

Logical Operations(逻辑运算): 可能值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。 “not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。 “not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。

 

 

 显示过滤器--对捕捉到的数据包依据协议或包的内容进行过滤

1.协议过滤语法

语法: Protocol . String 1 . String 2 Comparison operator   Value Logical Operations Other expression 例子: http   request   method  == "POST" or icmp.type

 

string1和string2是可选的。

依据协议过滤时,可直接通过协议来进行过滤,也能依据协议的属性值进行过滤。

 

按协议进行过滤:

 

snmp || dns || icmp 显示SNMP或DNS或ICMP封包。

按协议的属性值进行过滤:

ip.addr == 10.1.1.1

 

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

ip.src == 10.230.0.0/16 显示来自10.230网段的封包。

 

tcp.port == 25 显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25 显示目的TCP端口号为25的封包。

 

http.request.method== "POST" 显示post请求方式的http封包。

http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包。

 

 

tcp.flags.syn == 0×02 显示包含TCP SYN标志的封包。

 

2.内容过滤语法

2.1深度字符串匹配

contains :Does the protocol, field or slice contain a value

示例

 

tcp contains "http" 显示payload中包含"http"字符串的tcp封包。

 

 

http.request.uri contains "online" 显示请求的uri包含"online"的http封包。

 

2.2特定偏移处值的过滤

tcp[20:3] == 47:45:54  /* 16进制形式,tcp头部一般是20字节,所以这个是对payload的前三个字节进行过滤 */

http.host[0:4] == "trac"

 

过滤中函数的使用(upper、lower)

upper(string-field) - converts a string field to uppercase lower(string-field) - converts a string field to lowercase 示例 upper(http.request.uri) contains "ONLINE"

 

 

记下一些用过的capture filter

port 2425 只抓取2425端口

portrange 6881-6889 抓取端口范围6881-6889

host 211.69.198.223(相当于src or dst host 211.69.198.223)只抓取本机和211.69.198.223之间的通信

src host 211.69.198.223(或者src 211.69.198.223 )只抓取来自211.69.198.223 的包,本机发往  211.69.198.223 的包不抓

dst host 211.69.198.223 (或者dst 211.69.198.223 )只抓去发往211.69.198.223 的包,211.69.198.223 发来的不抓

tcp dst port 2425 只抓发往tcp2425端口的包

 

至于抓包结束后,想在结果中再进行过滤,只看某一种协议、某一个ip等等的包,那么就要用到Filter

这里可以直接输入协议名字,如http、tcp等

可以输入ip,但是语法和capture filter不一样,是ip.addr==192.168.255.100

可以输入端口,udp.port==999表示udp端口999


本文链接: Wireshark 过滤器语法,转载请注明。

相关 [wireshark 过滤器 语法] 推荐:

Wireshark 过滤器语法 - 粪球

- - 博客园_首页
 wireshark有两种过滤器:.  捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中. 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找. 捕捉过滤器 (此过滤器不需要比较运算符,查询关键字请全部小写). 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件.

wireshark过滤规则

- - CSDN博客推荐文章
WireShark 过滤 语法  . 过 滤 IP,如来源IP或者目标IP等于某个IP. ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP. tcp.port eq 80 // 不管端口是来源的还是目标的都显示. tcp.dstport == 80 // 只显tcp协议的目标端口80.

Wireshark 入门详解

- - 运维生存时间
一、 background 二、 how it works 三、包抓取方式 四、 filter in Wireshark.   Capture filter例子. 抓取所有本主机发送的报文,本机为2.2.2.2. 抓取与主机1.1.1.1.的1033端口的所有通信. 五、 Wireshark的安装 六、 Wireshark的实用功能.

wireshark使用教程

- - 互联网 - ITeye博客
 wireshark是一款抓包软件,比较易用,在平常可以利用它抓包,分析协议或者监控网络,是一个比较好的工具,因为最近在研究这个,所以就写一下教程,方便大家学习.        这里先说Wireshark的启动界面和抓包界面.        启动界面:. 这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包.

Wireshark 抓远程主机的包

- - 依云's Blog
本文来自 依云's Blog,转载请注明. 通常,我在本地用图形界面的 Wireshark 来抓包及解析,而对于远程服务器,因为没有图形界面,只好使用 tcpdump 抓包到文件然后复制到本地拿 Wireshark 看了,这样就不能实时查看抓到的包了. 当然 tcpdump 也可以实时输出,但是信息太少、难以阅读,功能也过于简单,比如我要跟踪流啊、不同的流用不同的颜色高亮啊、添加注释啊、时序分析啊,tcpdump 完全没办法做到.

使用 Wireshark 调试 HTTP/2 流量

- - JerryQu 的小站
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码. 与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证. 以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,只有一些细微的区别(头部字段都是小写,多了一些冒号开头的头部等).

JQuery内容过滤器

- - CSDN博客推荐文章
jQuery的选择器非常众多,下面介绍其中的一种,内容过滤器. 内容过滤器顾名思义就是根据内容进行选择的一种. 选择器,下面我们来举例一下这个内容过滤器的使用方法. 使用jQuery内容过滤器. $(function(){//显示包含给定文本的元素. $(function(){//显示所有不包含子元素或者文本的空元素.

Linux下网络抓包命令tcpdump详解(在wireshark中看包)

- - 开心平淡对待每一天。热爱生活
tcpdump采用命令行方式,它的命令格式为:.       tcpdump[ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ].           [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ].           [ -T 类型 ] [ -w 文件名 ] [表达式 ]   .

转载:Wireshark基本介绍和学习TCP三次握手

- - 互联网 - ITeye博客
Wireshark基本介绍和学习TCP三次握手. 用 Fiddler 来调试HTTP,HTTPS. 这篇文章介绍另一个好用的抓包工具wireshark, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包. 记得大学的时候就学习过TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实.

Wireshark抓包工具--TCP数据包seq ack等解读

- - CSDN博客互联网推荐文章
1、Wireshark的数据包详情窗口,如果是用中括号[]括起来的,表示注释,在数据包中不占字节. 2、在二进制窗口中,如“DD 3D”,表示两个字节,一个字节8位. 3、TCP数据包中,seq表示这个包的序号,注意,这个序号不是按1递增的,而是按tcp包内数据字节长度加上,如包内数据是21字节,而当前IP1发到IP2的包的seq是10的话,那下个IP1发到IP2的包的seq就是10+21=31.