wireshark常用过滤
wireshark怎么过滤端口?
wireshark怎么过滤端口?
方法/步骤过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包;协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议;http模式过滤。如过滤get包,http.request.method==\
wireshark怎么过滤特定消息?
过滤方法:
一、针对IP地址的过滤。
(1)源地址
表达式为:ip.src == 192.168.0.1
ip.src == 10.230.0.0/16 显示来自10.230网段的封包。
(2)目的地址
表达式为:ip.dst == 192.168.0.1
(3)源或者目的地址
表达式为:ip.addr == 192.168.0.1,
或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
ip.src == 192.168.0.1 || ip.dst == 192.168.0.1
(4)排除以上数据包
表达式为:!(ip.src == 192.168.0.1)
或者:ip.src != 10.1.2.3
二、针对协议的过滤
(1)仅仅输入协议名即可。
表达式为:http
(2)多种协议, 需对协议进行逻辑组合
表达式为:http or telnet
或者: tcp || udp
(3)排除某种协议的数据包
表达式为:not arp
或者:!tcp
三、针对端口的过滤
(1)某一端口
表达式为:tcp.port == 80
tcp.dstport == 25 显示目的TCP端口号为25的封包。
(2)多端口
表达式为:udp.port gt= 2048 (捕获高端口)
可用or连接:tcp.dstportgt=33758 or tcp.dstportlt=33755
and多条件组合:tcp.dstportgt=33758 and tcp.srcport==20
四、针对长度和内容的过滤
(1)数据段的长度
表达式为:udp.length lt 30 http.content_length lt=20
(2)数据包内容
表达式为:http.request.uri matches “vipscu” (匹配http请求中含有vipscu字段的请求信息)
五、深度字符串匹配
contains :Does the protocol, field or slice contain a value
示例
tcp contains “http” 显示payload中包含