WireShark 过滤语法.docxVIP

/* WireShark 过滤语法 */1.过滤IP，如来源IP或者目标IP等于某个IP例子:ip.src eq 07 or ip.dst eq 07或者ip.addr eq 07 // 都能显示来源IP和目标IP2.过滤端口例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport == 80 // 只显tcp协议的目标端口80tcp.srcport == 80 // 只显tcp协议的来源端口80udp.port eq 15000过滤端口范围tcp.port = 1 and tcp.port = 803.过滤协议例子:tcpudparpicmphttpsmtpftpdnsmsnmsipssloicqbootp等等排除arp包，如!arp?? 或者?? not arp4.过滤MAC太以网头过滤eth.dst == A0:00:00:04:C5:84 // 过滤目标maceth.src eq A0:00:00:04:C5:84 // 过滤来源maceth.dst==A0:00:00:04:C5:84eth.dst==A0-00-00-04-C5-84eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的less than 小于 lt 小于等于 le等于 eq大于 gt大于等于 ge不等 ne5.包长度过滤例子:udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len = 7?? 指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len == 119 整个数据包长度,从eth开始到最后eth ip or arp tcp or udp data6.http模式过滤例子:http.request.method == GEThttp.request.method == POSThttp.request.uri == /img/logo-edu.gifhttp contains GEThttp contains HTTP/1.// GET包http.request.method == GET http contains Host: http.request.method == GET http contains User-Agent: // POST包http.request.method == POST http contains Host: http.request.method == POST http contains User-Agent: // 响应包http contains HTTP/1.1 200 OK http contains Content-Type: http contains HTTP/1.0 200 OK http contains Content-Type: 一定包含如下Content-Type:7.TCP参数过滤tcp.flags 显示包含TCP标志的封包。tcp.flags.syn == 0x02???? 显示包含TCP SYN标志的封包。tcp.window_size == 0 tcp.flags.reset != 18.过滤内容tcp[20]表示从20开始，取1个字符tcp[20:]表示从20开始，取1个字符以上tcp[20:8]表示从20开始，取8个字符tcp[offset,n]udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数，是否与==后面的数据相等？udp[8:1]==32?? 如果我猜的没有错的话，应该是udp[offset:截取个数]=nValueeth.addr[0:3]==00:06:5B例子:判断upd下面那块数据包前三个是否等于0x20 0x21 0x22我们都知道udp固定长度为8udp[8:3]==20:21:22判断tcp那块数据包前三个是否等于0x20 0x21 0x22tcp一般情况下，长度为20,但也有不是20的时候tcp[8:3]==20:21:22如果想得到最准确的，应该先知道tcp长度matches(匹配)和contains(包含某字符串)语法ip.src==07 and udp[8:5] matches \\x02\\x12\\x21\\x00\\x22ip.src==07 and udp contains 02:1