wireshark域名过滤,怎么用wireshark抓包网址过滤

阅读(126)发布于 2023-07-29

wireshark如何按照域名过滤 在抓包之前设置抓包过滤器,然后start或者在vm当中,在纯净无干扰的网络环境下抓。工作流程 确定Wireshark的位置。tcp.flags.syn==0x02显示包含TCPSYN标志的封包。tcpcontains"关键字" 9.报文 https://wiki.wireshark.org/SampleCaptures 怎么用wireshark抓包网址过滤 你是捕获的时候过滤吗?在开始的对话框里输入,用tcpdump的规则,wireshark的文档里有。如果是显示的时候过滤,可以用向导的,用的是wireshark自己的过滤规则

配图

在抓包之前设置抓包过滤器,然后start或者在vm当中,在纯净无干扰的网络环境下抓。不是所有包我都要抓取:Capture->Options->CaptureFilter。

需要掌握filter使用语法。如果不想掌握,可以尝试基于进程抓包分析工具QPA,QPA搜索使用方式是直接在筛选框中输入关键词,然后回车即显示相关目标报文。

工作流程

(1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

(2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。

一、IP过滤:包括来源IP或者目标IP等于某个IP

比如:ip.srcaddr==192.168.0.208orip.srcaddreq192.168.0.208显示来源IP

ip.dstaddr==192.168.0.208orip.dstaddreq192.168.0.208显示目标IP

二、端口过滤:

比如:tcp.porteq80//不管端口是来源的还是目标的都显示

tcp.port==80

tcp.porteq2722

tcp.porteq80orudp.porteq80

tcp.dstport==80//只显tcp协议的目标端口80

tcp.srcport==80//只显tcp协议的来源端口80

过滤端口范围

tcp.port>=1andtcp.port<=80

三、协议过滤:tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

等等

排除ssl包,如!ssl或者notssl

四、包长度过滤:

比如:

udp.length==26这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len>=7指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len==94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len==119整个数据包长度,从eth开始到最后

五、http模式过滤:

例子:

http.request.method==“GET”

http.request.method==“POST”

http.request.uri==“/img/logo-edu.gif”

httpcontains“GET”

httpcontains“HTTP/1.”

//GET包

http.request.method==“GET”&&httpcontains“Host:”

http.request.method==“GET”&&httpcontains“User-Agent:”

//POST包

http.request.method==“POST”&&httpcontains“Host:”

http.request.method==“POST”&&httpcontains“User-Agent:”

//响应包

httpcontains“HTTP/1.1200OK”&&httpcontains“Content-Type:”

httpcontains“HTTP/1.0200OK”&&httpcontains“Content-Type:”

一定包含如下

Content-Type:

六、连接符and/or

可使用单个或多个过滤条件(可使用==,>=等),多个条件时使用andor进行连接

例子:ip.src==192.168.1.107orip.dst==192.168.1.107

例子:

tcp.porteq80//不管端口是来源的还是目标的都显示

tcp.port==80

tcp.dstport==80//只显tcp协议的目标端口80tcp.srcport==80//只显tcp协议的来源端口80

过滤端口范围tcp.port>=1andtcp.port<=80

例子:

tcpudparpicmphttpsmtpftpdns等等

排除arp包,如!arp或者notarp

例子太以网头过滤

eth.dst==A0:00:00:04:C5:84//过滤目标mac

eth.srceqA0:00:00:04:C5:84//过滤来源mac

例子:

udp.length==26这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len>=7指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len==94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len==119整个数据包长度,从eth开始到最后

例子:

http.request.method==“GET”

http.request.method==“POST”

http.request.uri==“/img/logo-edu.gif”

httpcontains“GET”

httpcontains“HTTP/1.”

tcp.flags显示包含TCP标志的封包。

tcp.flags.syn==0x02显示包含TCPSYN标志的封包。

tcpcontains"关键字"

9.报文

https://wiki.wireshark.org/SampleCaptures

你是捕获的时候过滤吗?在开始的对话框里输入,用tcpdump的规则,wireshark的文档里有。

如果是显示的时候过滤,可以用向导的,用的是wireshark自己的过滤规则

以上就是关于wireshark域名过滤的解答,如果对你有帮助,不妨关注本站,本站将为你整理更多内容。