Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例

本文列举wireshark 常用的OSI三层抓包和显示过滤规则.

Wireshark Information

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。

各行信息分别为

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

wireshark与对应的OSI七层模型

wireshark 常用快捷键可以查看上一篇“二层抓包过滤文章”

一、抓包过滤表达式的规则（OSI 三层）

#ip/ipv6 只抓取IPv4或IPv6的数据包

#IPV6 抓包规则

#host X.X.X.X 只抓取源于或发往所指定的主机名或IP地址的流量（比如：host 192.168.1.1）

host 172.18.202.248

备注：对于同一个目标抓取报文，既可以抓取二层抓取规则，也可以采用三层抓取规则，其结果是一样的；

#dst host X.X.X.X 只抓取发往所指定的主机名或IP地址的流量

dst host 172.18.202.248 = dst 172.18.202.248

#src host X.X.X.X 只抓取源于所指定的主机名或IP地址的流量

src host 172.18.202.248

#gateway X.X.X.X 只抓穿过host的流量

#net X.X.X.X 只抓取源于或发往标识符的IPv4huoIPv6网络号的流量（比如：net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 ）

net 172.18.202.0/24

net X.X.X.X = 【dst net X.X.X.X + src net X.X.X.X】

#dst net X.X.X.X 只抓取发往标识符的IPv4huoIPv6网络号的流量

dst net 172.22.202.0/24

#src net X.X.X.X 只抓取源于标识符的IPv4huoIPv6网络号的流量

src net 172.18.18.0/24

broadcast 只抓取IP广播包

ip broadcast

multicast 只抓取IP多播包

ip6 multicast

ip multicast

@混合表达式过滤规则

ip host 172.18.202.248 and icmp

src host 172.18.202.248 or arp

src host 172.18.202.248 or (arp and !broadcast )

src host 172.18.202.248 or ( (arp and !broadcast ) and ! tcp)

src host 172.18.202.248 and ( (arp and !broadcast ) and ! tcp)

net 172.18.202.0/24 and (arp and !broadcast ) or ! tcp

net 172.18.200.0/21 and ether src 8C-EC-4B-69-A6-A7 and arp

二、显示过滤表达式的规则（OSI 三层）

混合表达式示例

ip.addr == 172.18.202.248 and not tcp.port in {80 25 1433}

--过滤显示ip等于172.18.202.248 并且 tcp端口不是80、25、1433的报文；

#ip proto XX 只抓取IP报头的协议类型字段值等于特定值的数据包

ip.proto

ip.proto and tcp or http

tcp.dstport == 80

#ip6 proto xx 只抓取IPv6报头的协议类型字段值等于特定值的数据包

ICMP

#TCP or udp

ip.proto == 6

ip.proto == 2

常见的DNS显示过滤器

让Wireshark只显示DNS查询和DNS响应数据包

dns.flags.response== 0 (DNS 查询)

dns.flags.response== 1(DNS 响应)

dns

ip.proto == 25

=========
常见的协议类型字段值
1 ICMP
2 IGMP
6 TCP
17 UDP
47 GRE
88 EIGRP
89 OSPF
112 VRRP

好了，今天就列举这么多，希望能对阅读者有所帮助。学以致用，多实践多总结。