WireShark过滤语法VIP免费

下载本文档

阅读 120
下载 14
格式 pdf
大小 232.02 KB
约7页
2024-12-17 发布于天津市
收藏
评论
点赞(0)
海报
举报

1/7页

2/7页

3/7页

在线预览已结束，请下载后查看完整版，加入VIP享文档下载特权

文本预览下载提示常见问题

/* WireShark 过滤语法 */ 1. 过滤IP，如来源IP 或者目标IP 等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP 和目标IP 2. 过滤端口例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or u dp.port eq 80 tcp.dstport == 80 // 只显tcp 协议的目标端口80 tcp.srcport == 80 // 只显tcp 协议的来源端口80 u dp.port eq 15000 过滤端口范围 tcp.port >= 1 and tcp.port <= 80 3. 过滤协议例子: tcp u dp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等排除 arp 包，如!arp 或者 not arp 4. 过滤MAC 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC 和目标MAC 都等于A0:00:00:04:C5:84 的 less than 小于 < lt 小于等于 le 等于 eq 大于 gt 大于等于 ge 不等 ne 5. 包长度过滤例子: u dp.length == 26 这个长度是指u dp 本身固定长度8 加上 u dp 下面那块数据包之和 tcp.len >= 7 指的是ip 数据包(tcp 下面那块数据),不包括 tcp 本身 ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从 ip 本身到最后 frame.len == 119 整个数据包长度,从 eth 开始到最后 eth ---> ip or arp ---> tcp or u dp ---> data 6. http 模式过滤例子: http.requ est.method == "GET" http.requ est.method == "POST" http.requ est.u ri == "/img/logo-edu .gif" http contains "GET" http contains "HTTP/1." // GET 包 http.requ est.method == "GET" && http contains "Host: " http.requ est.method == "GET" && http contains "User-Agent: " // POST 包 http.requ est.method == "POST" && http contains "Host: " http.requ est.method == "POST" && http contains "User-Agent: " // 响应包 http contains "HTTP/1.1 200 OK" && http contains "Content-Ty pe: " ...

1、当您付费下载文档后，您只拥有了使用权限，并不意味着购买了版权，文档只能用于自身使用，不得用于其他商业用途（如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利）。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。
3、如文档内容存在违规，或者侵犯商业秘密、侵犯著作权等，请点击“违规举报”。

碎片内容

WireShark过滤语法

小辰6 + 关注: 实名认证
内容提供者

出售各种资料和文档

收藏店铺进入空间

WireShark过滤语法VIP免费

WireShark过滤语法

您可能关注的文档

相关文档

热门下载

相关标签