• Wireshark


    使用 Wireshark 的默认设置抓包时,会得到大量的冗余信息,以至于很难找到自己所需的封包。使用过滤器可以帮助我们在庞杂的结果中快速地找到我们所需的封包。过滤器分为两种:捕捉过滤器和显示过滤器。

    捕捉过滤器用于决定将什么样的信息记录在捕捉结果中,需要在抓包前设置。捕捉过滤器是数据经过的第一层筛选,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

    显示过滤器是一种更为强大复杂的过滤器,它用于在捕捉结果中进行详细查找,帮助我们在日志文件中迅速地定位我们所需的封包。

    捕捉过滤器

    语法

    protocol[ direction][ host(s)][ value][ logical_operator other_expression]

    操作

    点击 Capture 菜单栏,选择 Options...,打开 Capture Options 窗口编辑过滤表达式。

    实例

    a) 显示目的 TCP 端口为 3128 的封包。

    tcp dst port 3128

    b) 显示来源 IP 地址为 10.1.1.1 的封包。

    ip src host 10.1.1.1

    c) 显示目的或来源 IP 地址为 10.1.2.3 的封包。

    host 10.1.2.3

    d) 显示来源为 UDP 或 TCP ,并且端口号在 2000 至 2500 范围内的封包。

    src portrange 2000-2500

    e) 显示除了 ICMP 以外的所有封包。

    not imcp

    f) 显示来源 IP 地址为 10.7.2.12 ,但目的地不是 10.200.0.16 的封包。

    src host 10.7.2.12 and not dst net 10.200.0.16

    显示过滤器

    语法

    protocol[.str1][.Str2][ comparison_operator value][ logical_operator other_expression]

    操作

    1. 编辑位置:

    2. 可以点击 Expression... 按钮,打开 Filter Expression 窗口编辑过滤表达式:

    实例

    a) 显示 TCP 封包。

    tcp

    b) 显示除 ICMP 外的封包。

    not icmp

    c) 显示来源 IP 地址为 93.184.216.34 的封包。

    ip.src == 93.184.216.34

    d) 显示目的 IP 地址为 93.184.216.34 且目的 TCP 端口为 445 的封包。

     ip.dst == 10.6.0.30 and tcp.dstport == 445

    e) 显示来源或目的 IP 地址为 10.1.1.1 的 HTTP 封包。

    ip.addr == 93.184.216.34 and http

    f) 显示 host 首部包含 "example.com" 的 HTTP 封包。

    http.host contains "example.com"

    h) 显示数据帧长度不大于 1024 字节的封包。

    frame.len <= 1024
  • 相关阅读:
    关于OC中.m文件下实现私有变量的方法,在.h文件下实现公有变量的方法
    mac中安装homebrew
    ios架构
    github命令记录
    Unity 游戏框架搭建 MonoBehaviour单例的模板
    Unity 游戏框架搭建 单例的模板
    unity 单列
    简单工厂与工厂
    NGUI动态播放视频
    在一个GameObject上进行多个AudioSource的控制
  • 原文地址:https://www.cnblogs.com/huey/p/4821666.html
Copyright © 2020-2023  润新知