wireshark過濾條件的語法

一、IP過濾：包括來源IP或者目標IP等于某個IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP


二、端口過濾：
比如：tcp.port eq 80 // 不管端口是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協(xié)議的目標端口80
tcp.srcport == 80 // 只顯tcp協(xié)議的來源端口80


過濾端口范圍
tcp.port >= 1 and tcp.port <= 80


三、協(xié)議過濾：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者 not ssl


四、包長度過濾：
比如：
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數(shù)據(jù)包之和
tcp.len >= 7 指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身
ip.len == 94 除了以太網(wǎng)頭固定長度14,其它都算是ip.len,即從ip本身到最后
frame.len == 119 整個數(shù)據(jù)包長度,從eth開始到最后


五、http模式過濾：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”


// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 響應包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:


六、連接符 and / or


七、表達式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
========

wireshark 實用過濾表達式（針對ip、協(xié)議、端口、長度和內容） 實例介紹

首先說幾個最常用的關鍵字，“eq” 和 “==”等同，可以使用 “and” 表示并且，“or”表示或者。


“!" 和 "not” 都表示取反。




　　一、針對wireshark最常用的自然是針對IP地址的過濾。其中有幾種情況：
　　（1）對源地址為192.168.0.1的包的過濾，即抓取源地址滿足要求的包。
　　 ? ? ? ? 表達式為：ip.src == 192.168.0.1
　　（2）對目的地址為192.168.0.1的包的過濾，即抓取目的地址滿足要求的包。
　　 ? ? ? ? 表達式為：ip.dst == 192.168.0.1
　　（3）對源或者目的地址為192.168.0.1的包的過濾，即抓取滿足源或者目的地址的ip地址是


192.168.0.1的包。
　　 ? ? ? ? 表達式為：ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst ==?


192.168.0.1
　　（4）要排除以上的數(shù)據(jù)包，我們只需要將其用括號囊括，然后使用 "!" 即可。
　　 ? ? ? ? 表達式為：!(表達式)
?
　　二、針對協(xié)議的過濾
　　（1）僅僅需要捕獲某種協(xié)議的數(shù)據(jù)包，表達式很簡單僅僅需要把協(xié)議的名字輸入即可。
? ? ? ? ? ? ? ? 表達式為：http
　　（2）需要捕獲多種協(xié)議的數(shù)據(jù)包，也只需對協(xié)議進行邏輯組合即可。
　　 ? ? ? ? 表達式為：http or telnet （多種協(xié)議加上邏輯符號的組合即可）
　　（3）排除某種協(xié)議的數(shù)據(jù)包
　　 ? ? ? ? 表達式為：not arp ? ? ?!tcp
?
　　三、針對端口的過濾（視協(xié)議而定）
　　（1）捕獲某一端口的數(shù)據(jù)包
　　 ? ? ? ? 表達式為：tcp.port == 80
　　（2）捕獲多端口的數(shù)據(jù)包，可以使用and來連接，下面是捕獲高端口的表達式
　　 ? ? ? ? 表達式為：udp.port >= 2048
?
　　四、針對長度和內容的過濾
　　（1）針對長度的過慮（這里的長度指定的是數(shù)據(jù)段的長度）
　　 ? ? ? ? 表達式為：udp.length < 30 ? http.content_length <=20
　　（2）針對數(shù)據(jù)包內容的過濾
　　　　 ?表達式為：http.request.uri matches "vipscu" ?（匹配http請求中含有vipscu字段的請求


信息）
　　
　　通過以上的最基本的功能的學習，如果隨意發(fā)揮，可以靈活應用，就基本上算是入門了。以下是比


較復雜的實例（來自wireshark圖解教程）：
?
tcp dst port 3128
顯示目的TCP端口為3128的封包。
ip src host 10.1.1.1
顯示來源IP地址為10.1.1.1的封包。
host 10.1.2.3
顯示目的或來源IP地址為10.1.2.3的封包。
src portrange 2000-2500
顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。
not imcp
顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）
src host 10.7.2.12 and not dst net 10.200.0.0/16
顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net?


10.0.0.0/8
顯示來源IP為10.4.1.12或者來源網(wǎng)絡為10.6.0.0/16，目的地TCP端口號在200至10000之間，并且目的位


于網(wǎng)絡10.0.0.0/8內的所有封包。


wireshark 包長度過濾規(guī)則
ip.src==192.168.9.64 and http and ip.dst==192.168.100.11 and frame.len>70
========

總結

以上是生活随笔為你收集整理的wireshark过滤规则学习总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。