抓取网络包的方法.doc

网络包就是客户端（对我们而言通常就是机顶盒）与服务器端交互时的收发源数据 在碰到双向版本的时候，经常会碰上的问题，比如某个页面进不去、点播不之类的 这时候看打印往往效果不大，但是通过网络包的状态就能分辨出个大致来 ?? 一、IP过滤：包括来源IP或者目标IP等于某个IP比如：ip.src addr==08? or ip.src addr eq 08 显示来源IP??????? ip.dst addr==08? or ip.dst addr eq 08 显示目标IP二、端口过滤：比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示??????? tcp.port == 80??????? tcp.port eq 2722??????? tcp.port eq 80 or udp.port eq 80??????? tcp.dstport == 80 // 只显tcp协议的目标端口80??????? tcp.srcport == 80 // 只显tcp协议的来源端口80过滤端口范围tcp.port = 1 and tcp.port = 80三、协议过滤：tcpudparpicmphttpsmtpftpdnsmsnmsipssl等等排除ssl包，如!ssl 或者? not ssl四、包长度过滤：比如：udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len = 7? 指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len == 119 整个数据包长度,从eth开始到最后五、http模式过滤：例子:http.request.method == “GET”http.request.method == “POST”http.request.uri == “/img/logo-edu.gif”http contains “GET”http contains “HTTP/1.”// GET包http.request.method == “GET” http contains “Host: ”http.request.method == “GET” http contains “User-Agent: ”// POST包http.request.method == “POST” http contains “Host: ”http.request.method == “POST” http contains “User-Agent: ”// 响应包http contains “HTTP/1.1 200 OK” http contains “Content-Type: ”http contains “HTTP/1.0 200 OK” http contains “Content-Type: ”一定包含如下Content-Type:六、连接符 and / or七、表达式：!(arp.src==) and !(to_ipv4==43)