WireShark学习笔记

持续施工
记载有关WireShark的学习笔记

WireShark分为两种过滤器

  • 捕获过滤器
  • 显示过滤器

捕获过滤器用于决定抓取什么数据包
显示捕获过滤器:用于在捕获过滤器中显示查找

两种过滤器的语法并不一样.

WireShark过滤语法

捕获过滤器语法

Protocol Direction Host/Port 逻辑 other
tcp src/dst 1.1.1.1 and other

协议:

  • ether
  • icmp
  • fddi
  • ip
  • arp
  • rarp
  • decnet
  • lat
  • sca
  • moprc
  • mopdl
  • tcpandudp

方向:

  • src
  • dst
  • src and dst
  • src or dst

Host

  • net
  • port
  • host
  • portrange

逻辑

  • not
  • and
  • or
1
tcp or src net 192.168.1.1/24)

显示过滤器语法

Protocol String1 String2 表达式 Value 逻辑表达式 Other
ftp passive ip == 1.1.1.1 xor icmp.type

逻辑运算符

  • and && 与
  • or || 或
  • xor ^^ 异或
  • not ! 非

比较运算符

  • eq ==
  • ne !=
  • gt >
  • lt <
  • ge >=
  • le <=
  • contains 包含
  • matches 符合

协议过滤

1
snmp || dns || icmp || http

显示snmp或dns或icmp或http的包

1
!snmp and !dns and !http

不显示为snmp,dns,http的包

按照属性值进行过滤

ip过滤

1
ip.addr == 192.168.2.1

显示来源和目的地为192.168.2.1的包

1
ip.src != 192.168.2.1 or ip.dst != 192.168.2.2

显示来源不为192.168.2.1的包或者目的地不为192.168.2.2的包

1
ip.src == 192.168.2.1/24

显示来源为192.168.2.1网段的包

端口过滤

1
tcp.port == 25

显示TCP 25端口的包

1
tcp.srcpost == 80

显示来自tcp 80端口的包

1
tcp.dstport == 80

显示目的地为tcp 80端口的包

1
tcp.flags.syn == 0x02

显示包含tcp syn标志的包

1
upd.port == 8888

显示udp 8888端口的包

1
tcp.port >= 1 && tcp.port <=8000

显示tcp 端口范围 为1到8000的

http模式过滤

1
http.request.method="POST"

显示post请求的http包

1
http.request.uri contains ".jpg"

显示url中包含jpg的包

1
http contains "password"

显示包内容中包含password字段的http包

1
http.request.uri==“/img/gakki.gif”

指定uri的内容

过滤MAC地址

1
eth.src == AA:AA:AA:AA:AA:AA

显示来源为xxx的包

1
eth.dst == AA:AA:AA:AA:AA:AA

显示目的地为xxx的包

1
eth.addr= AA:AA:AA:AA:AA:AA

addr:包括源和目的地

包长度过滤

1
2
udp.length <= 1500
tcp.len >= 1500
1
2
ip.len == 20
frame.ken == 20

HTTP流分析

  1. MIDI(mid),文件头:4D546864
  2. JPEG(jpg),文件头:FFD8FF
  3. JFIF,文件头:FFD8FFE0
  4. PNG(png),文件头:89504E47
  5. GIF(gif),文件头:47494638
  6. TIFF(tif),文件头:49492A00
  7. WindowsBitmap(bmp),文件头:424D
  8. XML(xml),文件头:3C3F786D6C
  9. HTML(html),文件头:68746D6C3E
  10. MSWord/Excel(xls.or.doc),文件头:D0CF11E0
  11. ZIPArchive(zip),文件头:504B0304
  12. RARArchive(rar),文件头:52617221
  13. Wave(wav),文件头:57415645
  14. AVI(avi),文件头:52494646
  15. RealAudio(ram),文件头:2E7261FD
  16. RealMedia(rm),文件头:2E524D46