Wiresahrk抓包過濾技術
一、抓包過濾器
BPF語法(Berkeley Packet Filter)
類型:host、net、port
方向:src、dst
協議:ether、ip、tcp、udp、http、ftp等
邏輯運算符:&&與、||或、!非
src host 192.168.0.104 && dst port 80 #抓取源地址為192.168.0.104數據流量,目標端口為80
host 192.168.0.104 || host 192.168.0.105 #抓取主機地址為192.168.0.104和105數據
!broadcast #不抓取廣播包
ether host E4:D5:3D:A2:64:95 #抓取主機MAC為E4:D5:3D:A2:64:95
抓包過濾器操作步驟
二、流量不大的時候使用顯示過濾器
IP地址:ip.addr、ip.src、ip.dst
端口過濾:tcp.port、tcp.srcport、tcp.flag.syn等
運算符:
1、and表示與,兩個條件同時滿足
2、or、||表示或,其中一個條件被滿足
3、!、not表示忽略
less than表示小於< =
eq、== 表示等於
gt>表示大於
ge>=表示大於等於
!=、ne表示不等
顯示過濾器操作步驟
1、過濾端口
tcp.port == 80 #不管端口是來源的還是目標的都顯示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只顯tcp協議的目標端口80
tcp.srcport == 80 #只顯tcp協議的來源端口80
tcp.port >= 1 and tcp.port <= 80 #過濾端口範圍
2、過濾MAC
太以網頭過濾
eth.dst == E4:D5:3D:A2:64:95 #過濾目標MAC
eth.src eq E4:D5:3D:A2:64:95 #過濾來源MAC
eth.addr eq E4:D5:3D:A2:64:95 #過濾來源MAC和目標MAC都等於A0:00:00:04:C5:84的
!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC
3、過濾IP
ip.src == 192.168.0.104 過濾ip為192.168.0.104
4、包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個數據包長度,從eth開始到最後
eth —> ip or arp —> tcp or udp —> data
5、http模式過濾
http.request.method == GET
http.request.method == POST
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
6、DHCP
以尋找偽造DHCP服務器為例,在顯示過濾器中加入過濾規則,
顯示所有非來自DHCP服務器並且bootp.type==0x02(Offer/Ack/NAK)的信息:
bootp.type==0x02 and not ip.src==192.168.1.1
本篇文字不能涵蓋wireshark所有功能只是為了基礎者提供使用方式
本文出自 “馬廣傑——博客” 博客,請務必保留此出處http://maguangjie.blog.51cto.com/11214671/1927813
Wiresahrk抓包過濾技術