1.IP
ip.dst==192.168.101.8 //查找目的地址为192.168.101.8的包
ip.src==1.1.1.1 //查找源地址为
2.端口port
tcp.port==80 //这条规则是把源端口和目的端口为80的都过滤出来。
tcp.dstport==80 //只过滤目的端口为80的,
tcp.srcport==80 //只过滤源端口为80的包;
3.协议
http //过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;
//通过域名过滤2种方法
http.host == "baidu.com"
http.host contains
4.http模式过滤
http.request.method=="GET" //过滤get包
http.request.method=="POST" //过滤post包
5.连接符
ip.src==192.168.101.8 and http //过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的。
tcp.dstport 80 xor
等于写法为 eq 或者==;equals
小于写法为 lt ;less than
大于写法为 gt ; greater than
小于或等于写法为 le;less equals
大于或者等于写法为 ge;greater equals
不等写法为 ne;not equals
6.以太网数据头的MAC进行过滤
eth.addr eq e0:db:55:8e:8d:dd //查询出来以太网头数据内源MAC+目的MAC为e0:db:55:8e:8d:dd的数据包。
eth.srcdb:55:8e:8d:dd //表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包。
eth.dst eq e0:db:55:8e:8d:dd //表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。
eth.addr lt e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC以及目的MAC小于e0:db:55:8e:8d:dd的数据包。
udp.length ==95 //表示查询出来udp协议的数据包,且数据包长度为95的数据包。备注:udp数据包长度+ip头部长度(20)+以太网头部(14)=整体数据包的长度95。
tcp.len >= 29 //代表查询出来tcp协议的数据包,且包长度大于等于29的数据包。备注:tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度29。
ip.len eq 41 //表示查询ip数据包,且包长度为41的数据包。备注:ip数据包长度+以太网头(14)=整体数据包长度41。
frame.len eq 55 //表示查询出来整体包长度为55的数据包。
7.高级示例
udp dst port 60040 //显示目的 UDP 端口为 60040 的封包。
ip src host 172.16.226.126 //显示来源 IP 地址为 172.16.226.126 的封包。
host 10.1.2.3 //显示目的或来源 IP 地址为 10.1.2.3 的封包。
src portrange 60040-60042 //显示来源为 UDP 或 TCP,并且端口号在 60040 至 60042 范围内的封包。
not imcp //显示除了 icmp 以外的所有封包。(icmp 通常被 ping 工具使用)
src host 172.16.226.126 and not dst net 172.16.160.42/16 //显示来源 IP 地址为 172.16.226.126,但目的地不是 172.16.160.42/16 的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
//显示来源 IP 为 10.4.1.12 或者来源网络为 10.6.0.0/16,目的地 TCP 端口号在 200 至 10000 之间, 并且目的位于网络 10.0.0.0/8 内的所有封包。
----------------------------实例-----------------------------------
contains和matches两个不常用的关键字,过滤效果不错。
“contains”过滤包含指定字符串的数据包。例如:
http.request.uri contains “/dll/test.htm?”
//过滤http请求的uri中含有/dll/test.htm?字段的请求信息
udp contains 81:60:03
//过滤包含81:60:03的udp数据包
http.request.uri matches “V4=..1″
//matches 匹配过滤条件中给定的正则表达式,支持与Perl兼容的正则表达式(PCRE)。
http.host==magentonotes.com
http.host contains magentonotes.com
//过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名
http.response.code==302
//过滤http响应状态码为302的数据包
http.response==1
//过滤所有的http响应包
http.request==1
//过滤所有的http请求,貌似也可以使用http.request
http.request.method==POST
//wireshark过滤所有请求方式为POST的http请求包,注意POST为大写
http.cookie contains guid
//过滤含有指定cookie的http数据包
http.request.uri==”/online/setpoint”
//过滤请求的uri,取值是域名后的部分
http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//过滤含域名的整个url则需要使用http.request.full_uri
http.server contains “nginx”
//过滤http头中server字段含有nginx字符的数据包
http.content_type == “text/html”
//过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包
http.content_encoding == “gzip”
//过滤content_encoding是gzip的http包
http.transfer_encoding == “chunked”
//根据transfer_encoding过滤
http.content_length == 279
http.content_length_header == “279″
//根据content_length的数值过滤
http.server
//过滤所有含有http头中含有server字段的数据包
http.request.version == “HTTP/1.1″
//过滤HTTP/1.1版本的http包,包括请求和响应
http.response.phrase == “OK”
//过滤http响应中的phrase
Wireshark捕获UDP数据包
UDP协议分析常用过滤条件
ip.addr==192.168.0.1 //过滤ip地址
data.len==8 //过滤data部分长度为8的数据包
data.data == 00:08:30:03:00:00:00:00 //过滤指定内容的数据包
udp.srcport == 10092 //过滤经过本机10092端口的udp数据包
udp.dstport == 80 //过滤目标机器10092端口的udp数据包
udp.port==10092 //过滤本机或目标机器10092端口的数据包
udp.length == 20 //过滤指定长度的UDP数据包
UDP校验和过滤条件
udp.checksum == 0x250f
udp.checksum_good == 0 //Boolean类型
udp.checksum_bad == 0
进程相关的过滤条件
以下过滤条件不支持Windows,因为需要特殊的驱动。
udp.proc.dstcmd //过滤目标进程名
udp.proc.dstpid //过滤目标进程PID
udp.proc.dstuid //过滤目标进程的用户ID
udp.proc.dstuname //过滤目标进程的用户名
udp.proc.srccmd //过滤源进程名
udp.proc.srcpid //过滤源进程PID
udp.proc.srcuid //过滤源进程的用户ID
udp.proc.srcuname //过滤源进程的用户名
Wireshark中根据MAC地址/物理地址过滤数据包
Wireshark捕获过滤中过滤MAC地址/物理地址
ether host 00:11:22:33:44:55 //过滤目标或源地址是00:11:22:33:44:55的数据包
ether dst host 00:11:22:33:44:55 //过滤目标地址是00:11:22:33:44:55的数据包
ether src host 00:11:22:33:44:55 //过滤源地址是00:11:22:33:44:55的数据包
Wireshark显示过滤中过滤MAC地址/物理地址
eth.addr== 00:11:22:33:44:55 //过滤目标或源地址是00:11:22:33:44:55的数据包
eth.src== 00:11:22:33:44:55 //过滤源地址是00:11:22:33:44:55的数据包
eth.dst== 00:11:22:33:44:55 //过滤目标地址是00:11:22:33:44:55的数据包
Wireshark捕获经过指定ip的数据包
捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。
host 192.168.0.1 //抓取192.168.0.1 收到和发出的所有数据包
src host 192.168.0.1 //源地址,192.168.0.1发出的所有数据包
dst host 192.168.0.1 //目标地址,192.168.0.1收到的所有数据包
src host hostname //根据主机名过滤
ether host 80:05:09:03:E4:35 //根据MAC地址过滤
net 192.168.0 //网络过滤,过滤整个网段
src net 192.168
dst net 192
使用“非/且/或”建立组合过滤条件可以获得更精确的捕获
非: ! or “not” (去掉双引号)
且: && or “and”
或: || or “or”
wirershark过滤指定ip收发数据包示例:
抓取所有目的地址是192.168.0.2 或192.168.0.3 端口是80 的TCP 数据
(tcp port 80) and ((dst host 192.168.0.2) or (dst host
192.168.0.3)) //捕获过滤
tcp.port==80&&(ip.dst==192.168.0.2||ip.dst==192.168.0.3) //显示过滤
抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据
(icmp) and ((ether dst host 80:05:09:03:E4:35))
icmp && eth.dst==80:05:09:03:E4:35
抓取所有目的网络是192.168,但目的主机不是192.168.0.2 的TCP 数据
(tcp) and ((dst net 192.168) and (not dst host 192.168.0.2))
tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.0.2)
捕获主机192.168.0.1 和主机192.168.0.2 或192.168.0.3的通信
host 192.168.0.1 and (192.168.0.2 or 192.168.0.3 )
ip.addr==192.168.0.1&&(ip.addr==192.168.0.2||ip.addr==192.168.0.3)
获取主机192.168.0.1除了和主机192.168.0.2之外所有主机通信的数据包
host 192.168.0.1 and ! 192.168.0.2
ip.addr==192.168.0.1&&!ip.addr==192.168.0.2
获取主机192.168.0.1接收或发出的telnet包,telnet使用tcp 23端口
tcp port 23 and host 192.168.0.1
tcp.port==23&&ip.addr==192.168.0.1