AD

wireshark常用过滤规则

一、针对IP地址的过滤: 
(1)对源地址为10.0.0.1的包的过滤,即抓取源地址满足要求的包。
表达式为:ip.src == 10.0.0.1
(2)对目的地址为10.0.0.1的包的过滤,即抓取目的地址满足要求的包。
表达式为:ip.dst == 10.0.0.1
(3)对源或者目的地址为10.0.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是10.0.0.1的包。
表达式为:ip.addr == 10.0.0.1,或者 ip.src == 10.0.0.1 or ip.dst == 10.0.0.1
(4)要排除以上的数据包,我们只需要将其用括号扩住,然后使用 "!" 即可。
表达式为:!(表达式)

二、针对协议的过滤:
(1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
表达式为:http
(2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
表达式为:http or telnet (多种协议加上逻辑符号的组合即可)
(3)排除某种协议的数据包
表达式为:not arp      !tcp

三、针对端口的过滤(视协议而定)
(1)捕获某一端口的数据包
表达式为:tcp.port == 80
(2)捕获多端口的数据包,可以使用and来连接,下面是捕获高端口的表达式
         表达式为:udp.port >= 3388

四、针对长度和内容的过滤:
(1)针对长度的过虑(这里的长度指定的是数据段的长度)
表达式为:udp.length < 30   http.content_length <=20
(2)针对数据包内容的过滤
  表达式为:http.request.uri matches "passwd"  (匹配http请求中含有passwd字段的请求信息)

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

多种方法绕过POWERSHELL的执行策略