wireshark过滤规则及使用方法,wireshark捕获过滤器规则设置

　　wireshark过滤规则及使用方法,wireshark捕获过滤器规则设置

　　Wireshark中文版作为一款网络包软件，可以实时检测网络数据，传输数据包。用户可以通过浏览Wireshark中文版清楚地了解网络数据的状态。其丰富的功能让网络管理员、网络安全程序员，甚至普通人都可以在生活和工作中使用中文版的Wireshark。网络管理员可以通过它监控和修复网络漏洞，网络安全工程师可以通过它检查恶意程序是否残留在服务器中，普通人可以通过中国版的Wireshark学习网络协议的知识。

　　一、过滤HTTP报文

　　**http.host==6san.com

　　http.host包含6san.com

　　//过滤通过指定域名的http数据包，其中主机值不一定是请求中的域名。

　　http.response.code==302

　　//过滤http响应状态码为302的数据包

　　http.response==1

　　//过滤所有http响应数据包

　　http.request==1

　　//过滤所有http请求。好像也可以用http.request

　　http.request.method==POST

　　//wireshark过滤所有请求模式为POST的http请求数据包。注意POST是大写的。

　　http.cookie包含guid

　　//过滤包含指定cookie的http数据包

　　http . request . uri=="/online/setpoint "

　　//过滤请求的uri，取值为域名之后的部分

　　http . request . full _ uri==" http://task.browser.360.cn/online/setpoint"

　　//你需要使用http.request.full_uri过滤整个带域名的url。

　　http.server包含“nginx”

　　//过滤http头的服务器字段中带有nginx字符的数据包

　　http.content_type=="text/html "

　　//过滤content_type就是text/html的http响应和post包，也就是按照文件类型过滤http包。

　　http.content_encoding=="gzip "

　　//过滤content_encoding是gzip的http包。

　　http . transfer _ encoding==" chunked "

　　//根据transfer_encoding过滤

　　http.content_length==279

　　http . content _ length _ header==" 279 "

　　//根据content_length的数值进行过滤

　　http.server

　　//过滤http头中包含服务器字段的所有数据包

　　HTTP . request . version==" HTTP/1.1 "

　　//过滤http/version 1.1的HTTP数据包，包括请求和响应

　　http.response.phrase=="OK "

　　//过滤http响应中的短语**

　　二、过滤端口

　　显示源端口和目的端口分别为80和80的Tcp.port eq 80 //消息。

　　tcp.port==80

　　tcp.port==80或udp.port==443

　　Tcp.dstport==80 //仅显示Tcp协议的目标端口80

　　Tcp.srcport==80 //仅显示Tcp协议的源端口80

　　Tcp.port=1和tcp.port=80 //过滤器端口范围

　　三、过滤协议

　　传输控制协议

　　用户数据报协议

　　阿尔普

　　网间控制报文协议

　　超文本传送协议（Hyper Text Transport Protocol的缩写）

　　简单邮件传输协议

　　文件传输协议（File Transfer Protocol的缩写）

　　十进位计数制

　　msnms

　　互联网协议（Internet Protocol的缩写）

　　安全套接层

　　网络寻呼机

　　引导程序协议

　　四、过滤mac地址

　　Eth.dst==A0:00:00:04:C5:84 //过滤目标mac

　　Eth.src eq A0:00:00:04:C5:84 //过滤器源mac

　　eth.dst==A0:00:00:04:C5:84

　　eth.dst==A0-00-00-04-C5-84

　　Eth.addr eq A0:00:00:04:C5:84 //过滤源MAC和目的MAC都等于A0:00:00:04:C5:84。

　　五、比较操作符

　　Lt小于：小于

　　Gt大于

　　Ne:等于

　　六、报文长度过滤

　　Udp.length==100 //这个长度指的是Udp本身的固定长度8加上udp下面的包的总和

　　Tcp.len=7指的是ip包(Tcp下面的数据)，不包括tcp本身。

　　Ip.len==94除了以太网头长度固定为14，其他都是Ip.len，也就是从Ip本身到末端。

　　Frame.len==119整个数据包的长度，从eth开始到结束

　　七、and or匹配

　　和符号联合

　　或符号或

　　tcp和tcp.port==80

　　tcp或udp

　　八、 匹配tcp参数

　　Tcp.flags显示包含Tcp标志的数据包。

　　Tcp.flags.syn==0x02显示包含TCP SYN标志的数据包。TCP . window _ size==0 TCP . flags . reset！=1

　　九、过滤报文内容

　　Tcp[20]表示20个字符中的1个字符。

　　Tcp[20:]表示从20开始，取1个以上的字符。

　　Tcp[20:8]表示20中的8个字符。

　　TCP[偏移量，n]

　　eth . addr[0:3]=00:06:5B

　　Udp[8]==14 (14是十六进制0x14)与有效负载的第一个字节0x14匹配的Udp数据包。

　　Udp[8:2]==14:05可以是udp[8:2]==1405，只支持连续两个字节。必须用冒号分隔三个以上的字节来表示十六进制。(相当于udp[8]==14和udp[9]==05，1405就是0x1405)

　　Udp[8:3]==22:00:f7但不是udp[8:3]==2200f7

　　Udp[8:4]==00:04:00:2a，匹配有效负载的前4个字节0x0004002a

　　但是udp contains 7c:7c:7d:7d匹配有效载荷中包含0x7c7c7d的udp包，不一定从第一个字节就匹配。

　　以上介绍与Wireshark的过滤规则有关。不知道你有没有学过。如果你遇到过这样的问题，你可以按照边肖的方法自己尝试一下。希望能帮你解决问题。谢谢大家！了解更多教程信息，关注我们天地网~ ~ ~ ~