wireshark常用的过滤命令
继续抓包过滤学习:
1.按照IP地址过滤
查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1
2.按照端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
udp.port eq 514 udp.srcport eq +端口号 udp.dstport eq +端口号
tcp.port >1 and tcp.port <80 。表示为:得到tcp协议的端口范围为大于1小于80的数据包
3.按照协议过滤
支持的协议包括:tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp等
除了某个协议以外的其他协议的数据包。则表达式为! +协议名称或者not +协议名称
4.包长度过滤
比如:udp.length == 26
此处udp数据包长度+ip头部长度(20)+以太网头部(14)=整体数据包的长度。
tcp.len >= 7
此处tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度
ip.len == 94
此处ip数据包长度+以太网头(14)=整体数据包长度
frame.len == 119 整个数据包长度,从eth开始到最后
5.http模式过滤
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”一定包含如下Content-Type
6.按照mac地址过滤
eth.addr eq e0:db:55:8e:8d:dd
eth.src eq e0:db:55:8e:8d:dd
eth.dst eq e0:db:55:8e:8d:dd
7.比较表达式
在表达式处写法支持:等于--写法为 eq 或者==;
小于--写法为 lt ;
大于--写法为 gt ;
小于或等于--写法为 le;
大于或者等于--写法为 ge;
不等 ---写法为 ne;