wireshark的所有入门指令(总结与摘要）

wireshark的所有指令

常用捕获过滤器

1.基于IP地址进行捕获

host 10.3.1.1
dst host 10.3.1.1
net 192.168.1.0/24
net 192.168.1.0 mask 255.255.255.0
dst net 192.168.1.0/24

2.基于Mac地址进行捕获

ether host 02:0A:42:23:41:AC
ether src 02:0A:42:23:41:AC

3.基于端口号进行过滤

port 8
!port 8080
udp dst port 53

4.基于协议进行过滤

icmp
!ip6

常用显示过滤器

常用的http显示过滤器

http 
• http port 80 
• http.request 
• http.request.method==”GET”/http.request.method==”POST” 
• http.host==”www.baidu.com” 
• http.host contains “baidu”

用于匹配HTTP流量中的特定内容的语法

1.http.host == "www.example.com"：匹配目标主机为"www.example.com"的HTTP请求和响应。

2.http contains "login"：用于匹配HTTP流量中包含"login"字符串的数据包。

3.http.request.method == "POST"：匹配使用HTTP POST方法发送请求的数据包。

4.http.response.code == 200：匹配状态码为200的HTTP响应数据包。

5.http.cookie contains "sessionid"：匹配包含名为"sessionid"的HTTP Cookie数据包。

6.http.content_type == "text/html"：匹配Content-Type头部为"text/html"的HTTP数据包。

7.http.request.uri contains "admin"：匹配包含"admin"字符串的HTTP请求URI。

8.http.request.uri matches ".*.(jpg|png|gif)"：匹配HTTP请求URI中以".jpg"、".png"或".gif"结尾的URI。

9.http.user_agent matches "Mozilla.*"：匹配User-Agent头部以"Mozilla"开头的HTTP请求数据包。

mac地址/ip/端口过滤

eth.addr==20:dc:e6:f3:78:cc //筛选MAC地址是20:dc:e6:f3:78:cc的数据包，包括源或者目的MAC地址

eth.src==20:dc:e6:f3:78:cc //源MAC地址是20:dc:e6:f3:78:cc

eth.dst==20:dc:e6:f3:78:cc //目的MAC地址是20:dc:e6:f3:78:cc

ip.addr==192.168.1.122 //筛选出IP地址是192.168.1.122的数据包，包括源IP地址或者目的IP地址

ip.src== 和ip.dst==同上

tcp.port==80 //根据TCP端口筛选数据包，包括源端口或者目的端口

tcp.dstport==80 //根据目的TCP端口筛选

tcp.srcport==80 //根据源TCP端口筛选

udp.port==4010 //根据UDP端口筛选数据包，包括源端口或者目的端口

udp.srcport==4010 //根据源UDP端口筛选

udp.dstport==4010 //根据目的UDP端口筛选

协议筛选

常见协议：udp，tcp，arp，icmp，smtp，pop，dns，ip，ssl，http，ftp，ssh

http //过滤http流量 http.request.method==GET/POST

http.response

http.response.code >=400（包含错误码）

http.response.phrase == “OK”（过滤响应中的phrase）

http contains "snapshot" //过滤http头中含有指定字符

http.server contains “snapshot” //过滤http头中server字段含有指定字符

http.content_type == “text/html” //过滤content_type是text/html的http响应、post包

http.content_encoding == “gzip” //过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked” //根据transfer_encoding过滤

http.content_length == 279

http.content_length_header == “279” //根据content_length的数值过滤

http.server //过滤所有含有http头中含有server字段的数据包

https://zhuanlan.zhihu.com/p/631821119