超详细解析wireshark捕获过滤器语法
这里写目录标题
- 使用捕获过滤器
-
- 指定捕获过滤器
- 基于类型过滤
- 基于传输方向的过滤
- 基于协议过滤
- 基于数据过滤
- 使用多个捕获过滤器
- 使用预置表达式
使用捕获过滤器
指定捕获过滤器
捕获过滤器的语法格式为:
以上语法解析:
● Protocol (协议) :该选项用来指定协议。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果没有特别指明是什么
议,则默认使用所有支持的协议。
●Direction (方向) :该选项用来指定来源或目的地,默认使用src or dst作为关键该选项可使用的值有src、dst、 sre and dst和src or dst。
●Host(s): 指定主机地址。如果没有指定,默认使用host 关键字。可能使用的值有
net、port、 host 和portrange.
●Logical Operations (逻辑运算):该选项用来指定逻辑运算符。可能使用的值有and和or.其中,not (否)具有最高的优先级; or (或)和and (与)具有
优先级,运算时从左至右进行。
●Other expression (其他表达式) :使用其他表达式捕获过滤器。
例如:
指定捕获tcp协议且端口为80 的数据包:
基于类型过滤
Wireshark可以基于类型进行捕获过滤。其中可能使用的类型有主机host,网段net,端口port,端口范围portrange和特殊类型。
- 主机host
语法格式: host host
解析:第一个host表示过滤器类型为host:第二个host表示主机地址,可以是ipv4或Ipv6地址。
例:捕获主机192.168.1.10 的数据包。
host 192.168.1.10
-2 网段net
net用来指定捕获那个网段的数据包,其中网络类型的过滤器有三种形式。分别是:
net net
net mask
net CIDR
- net net
net 192.168.1.0 //对应掩码 255.255.255.255
net 192.168.1 //对应掩码 255.255.255.0
net 192.168 //对应掩码 255.255.0.0
net 192 //对应掩码255.0.0.0
- net mask形式
net 192.168.1.0 mask 255.255.255.0
- net CIDR形式
net 192.168.1.0/24
- 端口port
语法格式: port port
例: port 80
- 端口范围
语法:portrange port1-port2
例: portrange 1-100
- 特殊类型
gateway host
基于传输方向的过滤
1. 源src
可以在host,net,port,portrange类型前面田间src;
src host host //仅捕获地址为指定主机的数据包
src net net //仅捕获源地址为指定网段的数据包
src port port //仅捕获源端口为指定端口的数据包
src portrange port1-port2 //仅捕获端口范围为指定端口范围的数据包
2. 目标dst
dst host host //仅捕获地址为指定主机的数据包
dst net net //仅捕获源地址为指定网段的数据包
dst port port //仅捕获源端口为指定端口的数据包
dst portrange port1-port2 //仅捕获端口范围为指定端口范围的数据包
3. 源或者目标
src or dst host
src or dst net
src or dst port
src or dst portrange port1-port2
4. 源和目标
src and dst host
src and dst net
src and dst port
src and dst portrange port1-port2
5. 特殊方向
除了上述还有两种特殊方向捕获过滤器,分别是:
广播:broadcast
多播:multicast
ether broadcast //捕获以太网广播流量
ip broadcast //捕获ip广播流量
ether multicast //捕获哦以太网多播流量
广播和多播的区别
实例:捕获IPV4多播数据包
基于协议过滤
1. 协议
支持的协议过滤器
| 协议 | 含义 |
|---|---|
| ether | 以太网协议 |
| fddi | fddi是以太网协议的别名 |
| tr | tr是以太网协议的别名 |
| wlan | 无线协议也是以太网协议的别名 |
| ip | 互联网ipv4协议 |
| ip6 | 互联网ipv6协议 |
| arp | 地址解析协议 |
| rarp | 反向地址解析协议 |
| decent | 由数字设备公司推出并支持的一组协议集合 |
| tcp | 传输控制协议 |
| udp | 用户数据报协议 |
| icmp | internet控制报文协议 |
这些可以搭配前面所讲的过滤方式达到更加巧妙的过滤方式
例子:过滤源主机为192.168.1.100并且为tcp协议端口80的数据
基于数据过滤
1. 长度过滤
可以使用 less ,greater关键字
less 12 也可写成 len <=12
greater 12 也可写成 len>=12
2. 基于内容过滤
语法格式: proto[expr:size] relop express
参数解析:
- proto:支持的协议,有ether,fddi,tr,wlan,ppp,slip,link,ip,arp,rarp,tcp,udp,icmp,ip6或radio
- expr :指定协议的偏移地址
- size:指定数据长度其中,单位bit
- relop:指定使用的运算符,关系运算符有,>,<,>=,<=.=,!=,二进制运算符有,+,-,*,/,%,&,|,^,<<,>>
例如:捕获所有ipv4地址包,
ip[0] & 0xf !=5
使用多个捕获过滤器
通过结合逻辑运算符可以同时使用多个捕获过滤器。
有: not (!) ,and(&&),or(||) ,
例如:捕获主机192.168.1.100,而且tcp端口为80的数据包
host 192.168.1.100 and tcp port 80
注意: not(!) 具有最高优先级,and(&&)和 or(||)优先级相等。
使用预置表达式
然后点击管理捕获过滤器
可以将平时常用,或者,想到骚操作记录下来,下次就可以直接使用了。
ok,捕获过滤器的内容到这里就结束了,接下来会持续更新,显示过滤器,数据的处理与分析,等内容,持续关注吧。