wireshark过滤协议.docx

1、wireshark过滤协议竭诚为您提供优质文档/双击可除wireshark,过滤协议篇一：wireshark实用过滤表达式(针对ip、协议、端口、长度和内容)wireshark实用过滤表达式（针对ip、协议、端口、长度和内容）分类：网络20xx-08-0120:423867人阅读评论(0)收藏举报首先说几个最常用的关键字，“eq”和“=”等同，可以使用“and”表示并且，“or”表示或者。“!和not”都表示取反。一、针对wireshark最常用的自然是针对ip地址的过滤。其中有几种情况：（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。表达式为：ip.src=192

2、.168.0.1（2）对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。表达式为：ip.dst=192.168.0.1（3）对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip地址是192.168.0.1的包。表达式为：ip.addr=192.168.0.1,或者ip.src=192.168.0.1orip.dst=192.168.0.1（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用!即可。表达式为：!(表达式)二、针对协议的过滤（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。表达式为：http（

3、2）需要捕获多种协议的数据包，也只需对协议进行逻辑组合即可。表达式为：httportelnet（多种协议加上逻辑符号的组合即可）（3）排除某种协议的数据包表达式为：notarp!tcp三、针对端口的过滤（视协议而定）（1）捕获某一端口的数据包表达式为：tcp.port=80（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式表达式为：udp.port=2048四、针对长度和内容的过滤（1）针对长度的过虑（这里的长度指定的是数据段的长度）表达式为：udp.length（2）针对数据包内容的过滤表达式为：http.request.urimatchesvipscu（匹配http请

4、求中含有vipscu字段的请求信息）通过以上的最基本的功能的学习，如果随意发挥，可以灵活应用，就基本上算是入门了。以下是比较复杂的实例（来自wireshark图解教程）：tcpdstport3128显示目的tcp端口为3128的封包。ipsrchost10.1.1.1显示来源ip地址为10.1.1.1的封包。host10.1.2.3显示目的或来源ip地址为10.1.2.3的封包。srcportrange2000-2500显示来源为udp或tcp，并且端口号在2000至2500范围内的封包。notimcp显示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost10.7(w

5、ireshark,过滤协议).2.12andnotdstnet10.200.0.0/16显示来源ip地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8显示来源ip为10.4.1.12或者来源网络为10.6.0.0/16，目的地tcp端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。篇二：【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中，都离不开

6、网络协议分析软件（或叫网络嗅探器、抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多，比如ethereal（wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重要的是它们还是免费得

7、，但是用wireshark（ethereal）来分析大量数据包并在大量数据包中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版，免费注册激活，但是只能对50个点进行分析。废话不多说，下面介绍几个wireshark使用小技巧，说的不好，还

8、请各位多指点批评。目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。下面是wireshark的1.6版本的界面图：（看不清图，请点击放大）点击图中那个按钮，进入抓包网卡选择，然后点击option进入抓包条件设置，就会打开如下图的对话框如果想抓无线网卡的数据吧，就把图中那个勾去掉，不然会报错。点击captureFilter进入过滤抓包设置（也可以在这个按钮旁边，那个白色框直接写过滤语法，语法不完成或无法错误，会变成粉红色的框，正确完整的会变成浅绿色），Filtername是过滤条件命名，Filterstring是过滤的语法定义，设置好了，点击new会把

9、你设置好的加入到过滤条件区域，下次要用的时候，直接选者你定义这个过滤条件名。下面是wireshark的1.7版本的界面图：界面有所变化，同样是点击option进入过滤编辑，如下图：如果，左边的双击左边网卡可以直接进入过滤抓包设置对话框，中间是点击option后进入的对话框，再双击网卡进入下面的过滤抓包设置对话框，后面就跟wireshark的1.6版本一样了。下面聊聊过滤抓包语法，Filterstring中怎么写语法。大家可以看看captureFilter原来已有的怎么定义的。要弄清楚并设置好这个过滤条件的设置，得弄清楚tcp/ip模型中每层协议原理，以及数据包结构中每个比特的意思。上面这是抓得

10、aRp，在数据链路层来看的，aRp是上层协议，在ethernet包结构表示的协议类型代码是0x0806，如果站在网络层来说（aRp协议有时又称为2.5层的协议，靠近数据链路层），我们的过滤语法可以这样写：这两个是等价的，抓得都是aRp包。或许有的朋友这里不太明白，建议去看tcp/ip协议族tcp/ip协议详卷等等原来书籍，先理解数据包结构。从这个设置来看，可以看出wireshark的过滤抓包多么深入了。现在我简单讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filterstring该填写什么东西）。组合过滤语法常使用的连接：过滤语法1and过滤语法2只有同时满足语法1和2数据才会被捕获过滤语

11、法1or过滤语法2只有满足语法1或者2任何一个都会被捕获not过滤语法除该语法外的所有数据包都捕获常用的过滤语法说明：etherhostd0:dF:9a:87:57:9e定义捕获mac为d0:dF:9a:87:57:9e的数据包，不管这个mac地址是目标mac还是源mac，都捕获这个数据包etherproto0x0806定义了所有数据包中只要ethernet协议类型是0x0806的数据包进行捕获。如果我们用and来组合这两个语法：etherhostd0:dF:9a:87:57:9eandetherproto0x0806（该语法等价于etherhostd0:dF:9a:87:57:9eandar

12、p）表示我们只针对mac为d0:dF:9a:87:57:9e的aRp包进行捕获。arp该语法只捕获所有的arp数据包ip该语法只捕获数据包中有ip头部的包。（这个语法可以用etherproto0x0800，因为ethernet协议中得0x0800表示ip）host192.168.1.1该语法只捕获ip头部中只要有192.168.1.1这个地址的数据，不管它是源ip地址还是目标ip地址。tcp该语法只捕获所有是tcp的数据包tcpport23该语法只捕获tcp端口号是23的数据包，不管源端口还是目标端口。udp该语法只捕获所有是udp的数据包udpport53该语法只捕获udp端口号是23的数据

13、包，不管源端口还是目标端口。port68该语法只捕获端口为68的数据，不管是tcp还是udp，不管该端口号是源端口，还是目标端口。以上是常用的过滤抓包语法，灵活组合，就可以定位抓包。下面简单举几个例子。篇三：wireshark实用过滤表达式(针对ip、协议、端口、长度和内容)首先说几个最常用的关键字，“eq”和“=”等同，可以使用“and”表示并且，“or”表示或者。“!和not”都表示取反。一、针对wireshark最常用的自然是针对ip地址的过滤。其中有几种情况：（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。表达式为：ip.src=192.168.0.1（2）

14、对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。表达式为：ip.dst=192.168.0.1（3）对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip地址是192.168.0.1的包。表达式为：ip.addr=192.168.0.1,或者ip.src=192.168.0.1orip.dst=192.168.0.1（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用!即可。表达式为：!(表达式)二、针对协议的过滤（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。表达式为：http（2）需要捕获多种协议的

15、数据包，也只需对协议进行逻辑组合即可。表达式为：httportelnet（多种协议加上逻辑符号的组合即可）（3）排除某种协议的数据包表达式为：notarp!tcp三、针对端口的过滤（视协议而定）（1）捕获某一端口的数据包表达式为：tcp.port=80（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式表达式为：udp.port=2048四、针对长度和内容的过滤（1）针对长度的过虑（这里的长度指定的是数据段的长度）表达式为：udp.length（2）针对数据包内容的过滤表达式为：http.request.urimatchesvipscu（匹配http请求中含有vipscu字

16、段的请求信息）通过以上的最基本的功能的学习，如果随意发挥，可以灵活应用，就基本上算是入门了。以下是比较复杂的实例（来自wireshark图解教程）：tcpdstport3128显示目的tcp端口为3128的封包。ipsrchost10.1.1.1显示来源ip地址为10.1.1.1的封包。host10.1.2.3显示目的或来源ip地址为10.1.2.3的封包。srcportrange2000-2500显示来源为udp或tcp，并且端口号在2000至2500范围内的封包。notimcp显示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost10.7.2.12andnotdstnet10.200.0.0/16显示来源ip地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8显示来源ip为10.4.1.12或者来源网络为10.6.0.0/16，目的地tcp端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。