wireshark
抓取filter设置
捕获过滤器的语法格式为:
<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>
● Protocol (协议) :该选项用来指定协议。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果没有特别指明是什么
议,则默认使用所有支持的协议。
●Direction (方向) :该选项用来指定来源或目的地,默认使用src or dst作为关键该选项可使用的值有src、dst、 sre and dst和src or dst。
●Host(s): 指定主机地址。如果没有指定,默认使用host 关键字。可能使用的值有
net、port、 host 和portrange.
●Logical Operations (逻辑运算):该选项用来指定逻辑运算符。可能使用的值有and和or.其中,not (否)具有最高的优先级; or (或)和and (与)具有
优先级,运算时从左至右进行。
●Other expression (其他表达式) :使用其他表达式捕获过滤器
基于类型过滤
- 主机host 例如: host 192.168.1.10
- 网段net 网络类型三种 (1)net net (2)net mask (3)net CIDR
net 192.168.1.0 //对应掩码 255.255.255.255
net 192.168.1 //对应掩码 255.255.255.0
net 192.168 //对应掩码 255.255.0.0
net 192 //对应掩码255.0.0.0
【mask】net 192.168.1.0 mask 255.255.255.0
【CIDR方式】net 192.168.1.0/24
- 端口port port 80
- 端口范围 portrange 1-100
- 特殊类型
(1)源src 可以在host,net,port,portrange类型前面田间src
(2)目标dst 可以在host,net,port,portrange类型前面田间src
(3)源或者目标 src or dst host 可以在host,net,port,portrange类型前面田间src
(4)源和目标 src and dst host
5. 特殊方向
广播:broadcast
多播:multicast
ether broadcast //捕获以太网广播流量
ip broadcast //捕获ip广播流量
ether multicast //捕获哦以太网多播流量
基于协议过滤
ether 以太网协议
fddi fddi是以太网协议的别名
tr tr是以太网协议的别名
wlan 无线协议也是以太网协议的别名
ip 互联网ipv4协议
ip6 互联网ipv6协议
arp 地址解析协议
rarp 反向地址解析协议
decent 由数字设备公司推出并支持的一组协议集合
tcp 传输控制协议
udp 用户数据报协议
icmp internet控制报文协议
基于数据过滤
1. 长度过滤 less ,greater
less 12 也可写成 len <=12
greater 12 也可写成 len>=12
2. 基于内容过滤
ip.dst==192.168.1.199 目标地址 ip.src==1.1.1.1 源地址 tcp.port==8096 and (ip.dst==192.168.1.199 or ip.src==192.168.1.199)目标地址199请求+返回的所有信息 tcp.port==8096 and (ip.dst==192.168.1.199 or ip.src==192.168.1.199) and http tcp.port==8096 tcp.port==80 目标源地址都过滤 tcp.dstport==80 目标地址 tcp.srcport==80 源地址 http.request.method=="POST"; ip.src==192.168.101.8 and http
