2. 程式人生 > >Wireshark過濾規則之:http資料包

Wireshark過濾規則之:http資料包

阿新 發佈:2019-02-08

Wireshark過濾語句中常用的操作符

關鍵字有:

eq,== 等於
ne,!= 不等於
gt,> 比…大
lt,< 比…小 ge,>= 大於等於
le,<= 小於等於 and,|| 且 or,&& 或 not,! 取反

另外還有contains和matches兩個不常用的關鍵字,過濾效果不錯。

“contains”過濾包含指定字串的資料包。例如:

http.request.uri contains “/dll/test.htm?”
//過濾http請求的uri中含有/dll/test.htm?欄位的請求資訊

udp contains 81:60:03
//過濾包含81:60:03的udp資料包

http.request.uri matches “V4=..1″
//matches 匹配過濾條件中給定的正則表示式,支援與Perl相容的正則表示式(PCRE)。


http.host==magentonotes.com
http.host contains magentonotes.com
//過濾經過指定域名的http資料包,這裡的host值不一定是請求中的域名

http.response.code==302
//過濾http響應狀態碼為302的資料包

http.response==1
//過濾所有的http響應包

http.request==1
//過濾所有的http請求,貌似也可以使用http.request

http.request.method==POST
//wireshark過濾所有請求方式為POST的http請求包,注意POST為大寫

http.cookie contains guid
//過濾含有指定cookie的http資料包

http.request.uri==”/online/setpoint”
//過濾請求的uri,取值是域名後的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//過濾含域名的整個url則需要使用http.request.full_uri

http.server contains “nginx”
//過濾http頭中server欄位含有nginx字元的資料包

http.content_type == “text/html”
//過濾content_type是text/html的http響應、post包,即根據檔案型別過濾http資料包

http.content_encoding == “gzip”
//過濾content_encoding是gzip的http包

http.transfer_encoding == “chunked”
//根據transfer_encoding過濾

http.content_length == 279
http.content_length_header == “279″
//根據content_length的數值過濾

http.server
//過濾所有含有http頭中含有server欄位的資料包

http.request.version == “HTTP/1.1″
//過濾HTTP/1.1版本的http包,包括請求和響應

http.response.phrase == “OK”

//過濾http響應中的phrase

Wireshark捕獲UDP資料包

UDP協議分析常用過濾條件
ip.addr==192.168.0.1 //過濾ip地址
data.len==8 //過濾data部分長度為8的資料包
data.data == 00:08:30:03:00:00:00:00 //過濾指定內容的資料包

udp.srcport == 10092 //過濾經過本機10092埠的udp資料包
udp.dstport == 80 //過濾目標機器10092埠的udp資料包
udp.port==10092 //過濾本機或目標機器10092埠的資料包
udp.length == 20 //過濾指定長度的UDP資料包

UDP校驗和過濾條件
udp.checksum == 0x250f
udp.checksum_good == 0 //Boolean型別
udp.checksum_bad == 0

程序相關的過濾條件

以下過濾條件不支援Windows,因為需要特殊的驅動。

udp.proc.dstcmd //過濾目標程序名
udp.proc.dstpid //過濾目標程序PID
udp.proc.dstuid //過濾目標程序的使用者ID
udp.proc.dstuname //過濾目標程序的使用者名稱
udp.proc.srccmd //過濾源程序名
udp.proc.srcpid //過濾源程序PID
udp.proc.srcuid //過濾源程序的使用者ID
udp.proc.srcuname //過濾源程序的使用者名稱

Wireshark中根據MAC地址/實體地址過濾資料包

Wireshark捕獲過濾中過濾MAC地址/實體地址

ether host 00:11:22:33:44:55 //過濾目標或源地址是00:11:22:33:44:55的資料包

ether dst host 00:11:22:33:44:55 //過濾目標地址是00:11:22:33:44:55的資料包

ether src host 00:11:22:33:44:55 //過濾源地址是00:11:22:33:44:55的資料包

Wireshark顯示過濾中過濾MAC地址/實體地址

eth.addr== 00:11:22:33:44:55 //過濾目標或源地址是00:11:22:33:44:55的資料包

eth.src== 00:11:22:33:44:55 //過濾源地址是00:11:22:33:44:55的資料包

eth.dst== 00:11:22:33:44:55 //過濾目標地址是00:11:22:33:44:55的資料包

Wireshark捕獲經過指定ip的資料包

捕捉過濾抓包前在capture option中設定,僅捕獲符合條件的包,可以避免產生較大的捕獲檔案和記憶體佔用,但不能完整的復現測試時的網路環境。

host 192.168.0.1 //抓取192.168.0.1 收到和發出的所有資料包
src host 192.168.0.1 //源地址,192.168.0.1發出的所有資料包
dst host 192.168.0.1 //目標地址,192.168.0.1收到的所有資料包

src host hostname //根據主機名過濾

ether host 80:05:09:03:E4:35 //根據MAC地址過濾

net 192.168.0 //網路過濾,過濾整個網段
src net 192.168
dst net 192

使用“非/且/或”建立組合過濾條件可以獲得更精確的捕獲

非: ! or “not” (去掉雙引號)
且: && or “and”
或: || or “or”

wirershark過濾指定ip收發資料包示例:

抓取所有目的地址是192.168.0.2 或192.168.0.3 埠是80 的TCP 資料

(tcp port 80) and ((dst host 192.168.0.2) or (dst host
192.168.0.3)) //捕獲過濾

tcp.port==80&&(ip.dst==192.168.0.2||ip.dst==192.168.0.3) //顯示過濾

抓取所有目標MAC 地址是80:05:09:03:E4:35 的ICMP 資料

(icmp) and ((ether dst host 80:05:09:03:E4:35))

icmp && eth.dst==80:05:09:03:E4:35

抓取所有目的網路是192.168,但目的主機不是192.168.0.2 的TCP 資料

(tcp) and ((dst net 192.168) and (not dst host 192.168.0.2))

tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.0.2)

捕獲主機192.168.0.1 和主機192.168.0.2 或192.168.0.3的通訊

host 192.168.0.1 and (192.168.0.2 or 192.168.0.3 )

ip.addr==192.168.0.1&&(ip.addr==192.168.0.2||ip.addr==192.168.0.3)

獲取主機192.168.0.1除了和主機192.168.0.2之外所有主機通訊的資料包

host 192.168.0.1 and ! 192.168.0.2

ip.addr==192.168.0.1&&!ip.addr==192.168.0.2

獲取主機192.168.0.1接收或發出的telnet包,telnet使用tcp 23埠

tcp port 23 and host 192.168.0.1

tcp.port==23&&ip.addr==192.168.0.1

原文地址:http://www.magentonotes.com/

相關推薦

Wireshark過濾規則http資料

Wireshark過濾語句中常用的操作符 關鍵字有: eq,== 等於 ne,!= 不等於 gt,> 比…大 lt,< 比…小 ge,>= 大於等於 le,<= 小於等於 and,|| 且 or,&& 或 not,! 取

wireshark過濾規則及使用方法 抓 捕獲/過濾指定ip地址資料

Wireshark 基本語法,基本使用方法,及包過濾規則: 1.過濾IP,如來源IP或者目標IP等於某個IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者

Wireshark過濾掉TCP重傳資料

Wireshark過濾TCP重傳資料包 1. TCP Retransmission資料包是由於通訊超時產生的重傳資料包,在網路效能差的情況下經常會看到這類資料包。因而使用Wireshark即可過濾或者顯示這類資料包。 2. 先顯示TCP重傳資料包

WireShark學習抓取和分析HTTP資料

1. 設定過濾條件 - 指定網路協議http 2. 開啟Chrome瀏覽器輸入網址 - 在瀏覽器輸入https://sspai.com/post/30292 3. 在抓獲得包中得到兩個資料包,分別是HTTP請求以及HTTP響應

一站式學習Wireshark(八)應用Wireshark過濾條件抓取特定資料

應用抓包過濾,選擇Capture | Options,擴充套件視窗檢視到Capture Filter欄。雙擊選定的介面,如下圖所示,彈出Edit Interface Settints視窗。 下圖顯示了Edit Interface Settings視窗,這裡可以設定

Wireshark學習筆記——如何快速抓取HTTP資料

0.前言    在火狐瀏覽器和谷歌瀏覽器中可以非常方便的除錯network(抓取HTTP資料包),但是在360系列瀏覽器(相容模式或IE標準模式)中抓取HTTP資料包就不那麼那麼方便了。雖然也可使用HttpAnalyzer等工,但是畢竟都是收費軟體。只需通過合適的過濾和操作,

WireShark學習筆記(二)資料過濾

  WireShark有捕獲過濾器和顯示過濾器兩種過濾器,捕獲過濾器可以在捕獲資料包的時候就進行過濾,使得捕獲的時候只進行過濾的資料捕獲。顯示過濾器在顯示的時候進行過濾,使得顯示的時候將捕獲到的資料進行顯示。   這兩種過濾方式的優勢顯而易見,第一種可以減少捕

【轉】WireShark 過濾規則

網絡流量 href amp tcp 包過濾 method 必須 res https 原鏈:【滲透神器系列】WireShark   wireshark是一款網絡流量抓取分析神器,也是安全工具使用排行中排名第一的工具。使用wireshark必須要牢記一些常用的數據包過濾規則,

Wireshark過濾規則過濾選項

p地址 過濾規則 ges 8.4 http pro 選項 oss 括號 ? ip.addr == 192.168.6.1? 過濾出包含192.168.6.1的報文? ? ip.src == 192.168.43.137? 過濾出源IP地址為192.168.

wireshark過濾規則及使用方法

Wireshark 基本語法,基本使用方法,及包過濾規則: 1.過濾IP,如來源IP或者目標IP等於某個IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1

Servlet學習筆記【2】---Http資料

本文主要講Http協議相關知識。 1 Http協議特點 單向性:客戶端和服務端是單向通訊的,只有客戶端發請求,服務端才會響應產生。(異於推送模式) 無狀態:協議本身並沒有狀態的記錄,當客戶端多次訪問伺服器時,服務端並不知道你曾經訪問。STP協議是有狀態的(即客戶端連線服務端後,服務端會記錄連線狀態,下次連結繼

Free Pascal (Lazarus)版Android NDK的應用示例常用資料型別的轉換

         lazarus為free pascal 提供良好的IDE(在我看來,Delphi已死),可編譯出各種平臺的目標程式,而且大前提是免費的!我想這是free pacal的魅力所在。 android 正如日中天,獨霸一方,lazarus也提供了編譯到androi

linux下抓取http資料的兩種方式

0x01 利用pcap包進行抓包 利用pcap對http進行抓包,缺點是pypcap包要安裝一系列的依賴包,安裝比較麻煩。且pypcap包更新緩慢。 #_*_coding=utf-8_*_ import pcap import dpkt class Capute(obj

Ubuntu(VMware)下用wireshark抓取802.11無線資料 操作詳解

咱們從零開始:準備環境:VMware12.0 + Ubuntu16.04 (越新越好)辛酸之路:筆記本插上無線usb網絡卡,連線到Ubuntu,iwconfig識別不到網絡卡。下個官方驅動吧,這個Ralink很難找,放到Ubuntu編譯失敗。 然而同學卻能直接識別出網絡卡,沒

Netty學習筆記Http編碼和解碼

private final boolean client;/*** @param client*/public HttpPipelindeInitializer(boolean client) {this.client = client;}@Overrideprotected

基於Netty的RPC架構筆記8自定義資料協議

         由於資料在網路傳輸過程中,因為客戶端和服務端沒有約定好一個數據結構,就有可能粘包現象或分包現象,這樣就需要定義資料包協議 比如我要傳遞一句話:I want to learn English    and you? 粘包現象就是 I want  tolear

Wireshark 資料過濾規則

其實它與任何libpcap/WinPcap庫的使用格式相同 //你應當從Caption->Options 輸入表示式. 0x1僅捕獲指定IP地址的流量 host 172.18.5.4 0x2從一個IP地址範圍捕獲流量 net 192.

wireshark實戰dhcp四次資料交流過程

實驗目的:檢視客戶端向DHCP伺服器請求IP過程。 實驗資料: 實驗拓撲: 實驗步驟: 1、在sw2與R1之間放置資料包嗅探器。 2、開啟wireshark配置顯示過濾器為bootp。 可以

Wireshark數據分析HTTP協議解讀

網絡 數據包 交換機 路由器 *此篇博客僅作為個人筆記和學習參考 GET方法的數據包分析 Hypertext Transfer ProtocolGET / HTTP/1.1\r\n #請求行信息#[Expert Info (Chat/Sequence): GET / HTTP/1.1

C++從零開始區塊鏈P2P模組UDP資料分組排序

udp的特點是不可靠,不連線,資料發過去就完事,至於對方收沒收到就不管了。 在使用udp進行通訊的時候,要在應用層做分組、排序、組包、校驗等工作。 傳送方現將要傳送的資料切片,所有的切片組成一組,標上組號,每個切片根據原始資料的順序有個組內編號。 傳送的時候,每次傳送一個切片,並等待接