Wiresahrk抓包过滤技术

一、抓包过滤器

捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置
显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录

语法:    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression
例子:       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

协议:ether、 ip、arp、 rarp、tcp and udp等没有特别指明什么协议,默认抓取所有协议
方向:src、dst、 src and dst(没有特别指明源或目的地,默认为 “src or dst” 作为关键字

类型:net、 port、host、portrange(没有指定此值,默认使用”host”关键字
逻辑运算符:not、 and||、 or&&

src portrange 2000-2500显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包

抓包过滤器操作步骤

Wiresahrk抓包过滤技术

Wiresahrk抓包过滤技术

Wiresahrk抓包过滤技术

二、流量不大的时候使用显示过滤器

语法:    Protocol.String 1.String 2 Comparisonoperator    Value    LogicalOperations 
例子:    ip.src.addr             ==        10.1.1.1    and  

==等于
!=不等于
>=大于等于
<=小于等于
and两个条件同时满足
or其中一个条件被满足
not没有条件被满足

IP地址:ip.addr、ip.src、ip.dst
端口过滤:tcp.port、tcp.srcport、tcp.flag.syn

显示过滤器操作步骤

Wiresahrk抓包过滤技术

Wiresahrk抓包过滤技术

如果不熟悉表达式

Wiresahrk抓包过滤技术

1、过滤端口
tcp.port == 80 #不管端口是来源的还是目标的都显示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只显tcp协议的目标端口80
tcp.srcport == 80 #只显tcp协议的来源端口80
tcp.port >= 1 and tcp.port <= 80 #过滤端口范围

2、过滤MAC
太以网头过滤
eth.dst == E4:D5:3D:A2:64:95 #过滤目标MAC
eth.src eq E4:D5:3D:A2:64:95 #过滤来源MAC
eth.addr eq E4:D5:3D:A2:64:95 #过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC

3、过滤IP
ip.src == 192.168.0.104 过滤ip为192.168.0.104

4、包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
eth —> ip or arp —> tcp or udp —> data

5、http模式过滤
http.request.method == GET
http.request.method == POST
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

6、DHCP
以寻找伪造DHCP服务器为例,在显示过滤器中加入过滤规则,
显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack/NAK)的信息:
bootp.type==0x02 and not ip.src==192.168.1.1

7、查看DNS流量

dns.flags==0x0100

https://wiki.wireshark.org/CaptureFilters

Network monitor:通过一个内建程序来执行的网络分析器(该程序在操作系统安装盘的“administrator Tool”文件夹中,但它不是默认安装的,因此需要从安装盘中添加安装)

QQ文件无法访问
1、通过Network monitor获取到软件的交互数据IP和端口范围
(此Network monitor类似wireshark抓包工具)
2、将数据包导入到wireshark里面进行分析
3、通过IP和端口等条件对数据包进行过滤
4、根据数据流,对数据流进行分析

本篇文字不能涵盖wireshark所有功能只是为了基础者提供使用方式

原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/208555.html

(0)
上一篇 2021年12月7日
下一篇 2021年12月7日

相关推荐

发表回复

登录后才能评论