首页
网络
思科cisco
思科-常用查询
思科acl
思科console密码
Cisco交换机配置802.1x(dot1x)认证,基于Radius
Aruba无线控制器
交换机
ssh连接交换机报错
各类服务所用资源的记录
飞塔Fortinet
SNMP_mib
mib相关工具
锐捷交换机,查找需要的oid值
打印机oid
网络-终端
安卓13 无线ac证书 没有不验证
DHCP
win中用dhcpsrv搭建临时DHCP服务器
Python DHCP 服务器
异地办公VPN
NAT穿透
Wireguard
Wireguard参考
Wireguard VPN 让对等点相互通信
Zerotier
NTP
win下测试NTP服务器是否可用
域名
全球bgp数据
公共DNS
网络测试诊断工具
中国信通院“全球网测”APP(仅安卓版)
Telnet
MTU最大数据包大小
网络拓扑
子网划分
内网保留地址段
IP地址段分解与合并为CIDR(掩码)
H3C
H3C交换机 配置示例
华为与H3C交换机开关告警信息
交换机配置时间
H3C-ACL
H3C账号权限配置
设置console口密码
H3C查看端口的带宽利用率
交换机端口的mac地址绑定
H3C交换机端口镜像
让H3C交换机记录MAC地址变化信息到本地日志
使用IPSec打通异地职场间内网
pfSense开源防火墙和路由器
分公司通过总部专线出口IP上外网
锐捷
锐捷交换机 官方案例
锐捷802.1x(dot1x)
锐捷交换机_Syslog日志
锐捷acl调用、丢包排查(acl计数)
锐捷-用户权限配置
vlan下配置的acl失效原因
锐捷交换机-端口镜像
ssh客户端登录锐捷报错
锐捷交换机配置策略路由
H3C交换机配置有线网802.1x认证
802.1x认证用户查看
Wireshark过滤总结
IPv6地址
DHCP、静态ip 都有会冲突吗
免费的IP地理定位数据库
离线的IP归属地查询工具ip2regin
本文档由 内网文摘 发布,转载请注明出处
-
+
首页
Wireshark过滤总结
## Wireshark提供了两种过滤器: ### 1、捕获过滤器 在抓包之前就设定好过滤条件,然后只抓取符合条件的数据包。 ### 2、显示过滤器 在已捕获的数据包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。  注意:这两种过滤器所使用的语法是完全不同的,想想也知道,捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来,显示过滤器就是Wireshark对已捕捉的数据进行筛选。 使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量,那么可以简单地使用捕获过滤器过滤掉它,从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候,使用捕获过滤器是相当好用的。 Wireshark拦截通过网卡访问的所有数据,前提是没有设置任何代理。Wireshark不能拦截本地回环访问的请求,即127.0.0.1或者localhost。 ## 过滤器具体写法 ### 显示过滤器写法 1、过滤值比较符号及表达式之间的组合   2、针对ip的过滤 对源地址进行过滤 ip.src == 192.168.0.1 对目的地址进行过滤 ip.dst == 192.168.0.1 对源地址或者目的地址进行过滤 ip.addr == 192.168.0.1 如果想排除以上的数据包,只需要将其用括号囊括,然后使用 “!” 即可 !(ip.addr == 192.168.0.1) 3、针对协议的过滤 获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可 http 注意:是否区分大小写?答:区分,只能为小写 捕获多种协议的数据包 http or telnet 排除某种协议的数据包 not arp 或者 !tcp 4、针对端口的过滤(视传输协议而定) 捕获某一端口的数据包(以tcp协议为例) tcp.port == 80 捕获多端口的数据包,可以使用and来连接,下面是捕获高于某端口的表达式(以udp协议为例) udp.port >= 2048 5、针对长度和内容的过滤 针对长度的过虑(这里的长度指定的是数据段的长度) udp.length < 20 http.content_length <=30 针对uri 内容的过滤 http.request.uri matches 'user' (请求的uri中包含“user”关键字的) 注意:matches 后的关键字是不区分大小写的! http.request.uri contains 'User' (请求的uri中包含“user”关键字的) 注意:contains 后的关键字是区分大小写的! 5、针对http请求的一些过滤实例。 过滤出请求地址中包含“user”的请求,不包括域名; http.request.uri contains 'User' 精确过滤域名 http.host==baidu.com 模糊过滤域名 http.host contains 'baidu' 过滤请求的content_type类型 http.content_type =='text/html' 过滤http请求方法 http.request.method=='POST' 过滤tcp端口 tcp.port=\=80 http && tcp.port=\=80 or tcp.port==5566 过滤http响应状态码 http.response.code==302 过滤含有指定cookie的http数据包 http.cookie contains 'userid' ### 捕捉过滤器写法 在wireshark的工具栏中点击捕获 →捕获过滤器,可以看到一些过滤器的写法,如下图:   **1、比较符号** ``` 与:&&或者and或:||或者or非:!或者not ``` 实例: `src or dst portrange 6000-8000 && tcp or ip6` **2、常用表达式实例** * 源地址过滤 `src www.baidu.com` * 目的地址过滤 `dst www.baidu.com` * 目的地址端口过滤 `dst post 80` * 协议过滤 `udp` 原文参考 [1](http://www.360doc.com/content/20/0320/06/35329290_900457053.shtml)
local
2021年12月1日 14:55
分享文档
收藏文档
上一篇
下一篇
微信扫一扫
复制链接
手机扫一扫进行分享
复制链接
关于 LocalNetwork
LocalNetwork
是由mrdoc开源
LocalNetwork.cn
修改的在线文档系统,作为个人和小型团队的云笔记、文档和知识库管理工具。
如果此文档给你或你的团队带来了帮助,欢迎支持作者持续投入精力更新和维护!内网文摘 & LocalNetwork
>>>主页
logo
logo
下载Markdown文件
分享
链接
类型
密码
更新密码
