Ywc's blog

Wireshark-流量分析

Word count: 348Reading time: 1 min
2018/06/06

过滤协议有:http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

过滤ip

1
2
3
4
ip.addr==192.168.1.1  //显示所有目标或源地址是192.168.1.1的数据包
ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包
ip.src==192.168.1.1 //显示源地址是192.168.1.1的数据包
ip.src==192.168.0.0/16 //网络过滤,过滤一个网段

端口过滤

1
2
3
4
5
tcp.port==80       //TCP端口 
tcp.dstport == 80 //TCP目的端口
tcp.srcport == 80 //TCP源端口
udp.port eq 15000 //UDP端口
tcp.port >= 1 and tcp.port <= 80 //TCP 1-80之间的端口

MAC地址过滤

1
2
3
eth.src==A0:00:00:04:C5:84  //源MAC地址
eth.dst==A0:00:00:04:C5:84 //目的MAC地址
eth.addr==A0:00:00:04:C5:84 //MAC地址(包括源和目的)

包长度过滤

1
2
3
4
udp.length==20  //整个UDP数据包
tcp.len>=20 //TCP数据包中的IP数据包
ip.len==20 //整个IP数据包
frame.len==20 //整个数据包

http过滤

1
2
3
4
5
http.request.method=="GET"     //请求方法为GET
http.request.method=="POST" //请求方法为POST
http.request.uri=="/img/logo-edu.gif" //指定URL
http contains "FLAG" //请求或相应中包含特定内容:
http.host == "tracker.1ting.com" //显示请求的域名为tracker.1ting.com的http封包

参考链接:

http://www.freebuf.com/column/155600.html

https://blog.csdn.net/cumirror/article/details/7054496

https://blog.csdn.net/qq_29277155/article/details/52071376

CATALOG
  1. 1. 过滤ip
  2. 2. 端口过滤
  3. 3. MAC地址过滤
  4. 4. 包长度过滤
  5. 5. http过滤