过滤网络抓包工具wireshark基本用法及过虑规则

wireshark基本用法及过虑规则

1.过滤I P如来源I P或者目标IP等于某个IP

例:ip.srceq 10.0.21.49or ip.dsteq 192.168.81.67

或者ip.addreq10.0.21.49//都能显示来源IP和目标IP

2.过滤端口

例:

过滤端口范围tcp.port>=1 and tcp.port<=80

3.过滤协议

例:

排除arp包

!arp或者not arp //排除arp

4.过滤MAC

5.包长度过滤

例:udp.length ==26这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >=7指的是ip数据包(tcp下面那块数据),丌包括tcp本身ip.len ==94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len ==119整个数据包长度,从eth开始到最后eth—> iporarp—>tcporudp—>data

6.http模式过滤

例:

7.TCP参数过滤tcp.flags显示包含TCP标志的封包。tcp.flags.syn ==0x02显示包含TCP SYN标志的封包。tcp.window_size==0&&tcp.flags.reset !=1

8.包内容过滤tcp[20]表示从20开始取1个字符tcp[20:]表示从20开始取1个字符以上

注些两虚线中的内容在我的wireshark l inux上测试未通过。

--------------------------------------------------tcp[20:8]表示从20开始取8个字符tcp[offset,n]udp[8:3]==81:60:03//偏移8个bytes,再取3个数是否不==后面的数据相等udp[8:1]==32如果我猜的没有错的话应该是udp[offset:截取个数]=nValueeth.addr[0:3]==00:06:5B

例:

判断u pd下面那块数据包前三个是否等于0x200x210x22

我们都知道udp固定长度为8udp[8:3]==20:21:22

判断tcp那块数据包前三个是否等于0x200x210x22tcp一般情况下长度为20,但也有丌是20的时候tcp[8:3]==20:21:22

如果想得到最准确的应该先知道tcp长度matches(匹配)和contains(包含某字符串)语法ip.src==192.168.1.107 and udp[8:5]matches "\\x02\\x12\\x21\\x00\\x22″ ------???--------ip.src==192.168.1.107andudpcontains02:12:21:00:22ip.src==192.168.1.107and tcp contains "GET”udp contains 7c:7c:7d:7d匹配payload中含有0x7c7c7d7d的UDP数据包丌一定是从第一字节匹配。

9.dns模式过滤

10.DHCP

注意DHCP协议的检索规则丌是dhcp/DHCP 而是bootp

以寻找伪造DHCP服务器为例介绍Wireshark的用法。在显示过滤器中加入过滤规则

显示所有非来自DHCP服务器并且bootp.type==0x02 Offer/Ack/NAK的信息bootp.type==0x02 and not ip.src==192.168.1.1

11.msn