本文列举wireshark 常用的OSI三层抓包和显示过滤规则.

Wireshark Information

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第1张图片

封包详细信息 (Packet Details Pane)

这个面板是我们最重要的,用来查看协议中的每一个字段。

各行信息分别为

Frame: 物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP

Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

wireshark与对应的OSI七层模型

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第2张图片

wireshark 常用快捷键可以查看上一篇“二层抓包过滤文章”

一、抓包过滤表达式的规则(OSI 三层)

#ip/ipv6 只抓取IPv4或IPv6的数据包
Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第3张图片

#IPV6 抓包规则
Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第4张图片
#host X.X.X.X 只抓取源于或发往所指定的主机名或IP地址的流量(比如:host 192.168.1.1)

host 172.18.202.248

备注:对于同一个目标抓取报文,既可以抓取二层抓取规则,也可以采用三层抓取规则,其结果是一样的;
Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第5张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第6张图片
#dst host X.X.X.X 只抓取发往所指定的主机名或IP地址的流量

dst host 172.18.202.248 = dst 172.18.202.248

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第7张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第8张图片

#src host X.X.X.X 只抓取源于所指定的主机名或IP地址的流量

src host 172.18.202.248

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第9张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例
#gateway X.X.X.X 只抓穿过host的流量

#net X.X.X.X 只抓取源于或发往标识符的IPv4huoIPv6网络号的流量(比如:net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 )

net 172.18.202.0/24

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第10张图片
net X.X.X.X = 【dst net X.X.X.X + src net X.X.X.X】
Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第11张图片
#dst net X.X.X.X 只抓取发往标识符的IPv4huoIPv6网络号的流量

dst net 172.22.202.0/24

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第12张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第13张图片

#src net X.X.X.X 只抓取源于标识符的IPv4huoIPv6网络号的流量

src net 172.18.18.0/24

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第14张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第15张图片

broadcast 只抓取IP广播包

ip broadcast

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第16张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第17张图片

multicast 只抓取IP多播包

ip6 multicast

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第18张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第19张图片

ip multicast

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第20张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第21张图片

@混合表达式过滤规则

ip host 172.18.202.248 and icmp

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第22张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第23张图片

src host 172.18.202.248 or arp

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第24张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第25张图片

src host 172.18.202.248 or (arp and !broadcast )

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第26张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第27张图片

src host 172.18.202.248 or ( (arp and !broadcast ) and ! tcp)

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第28张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第29张图片

src host 172.18.202.248 and ( (arp and !broadcast ) and ! tcp)

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第30张图片

net 172.18.202.0/24 and (arp and !broadcast ) or ! tcp

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第31张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第32张图片

net 172.18.200.0/21 and ether src 8C-EC-4B-69-A6-A7 and arp

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第33张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第34张图片

二、显示过滤表达式的规则(OSI 三层)

混合表达式示例

ip.addr == 172.18.202.248 and not tcp.port in {80 25 1433}

--过滤显示ip等于172.18.202.248 并且 tcp端口不是80、25、1433的报文;

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第35张图片

#ip proto XX 只抓取IP报头的协议类型字段值等于特定值的数据包

ip.proto

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第36张图片

ip.proto and tcp or http

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第37张图片

tcp.dstport == 80

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第38张图片

#ip6 proto xx 只抓取IPv6报头的协议类型字段值等于特定值的数据包

ICMP

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第39张图片

#TCP or udp
Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第40张图片

ip.proto == 6

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第41张图片

ip.proto == 2

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第42张图片

常见的DNS显示过滤器

让Wireshark只显示DNS查询和DNS响应数据包

dns.flags.response== 0 (DNS 查询)

dns.flags.response== 1(DNS 响应)

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第43张图片

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第44张图片

dns

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例_第45张图片

ip.proto == 25

Wireshark 【OSI三层】抓包过滤规则和显示过滤规则实例

=========
常见的协议类型字段值
1 ICMP
2 IGMP
6 TCP
17 UDP
47 GRE
88 EIGRP
89 OSPF
112 VRRP

好了,今天就列举这么多,希望能对阅读者有所帮助。学以致用,多实践多总结。