wireshark关于时间的过滤规则

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了wireshark关于时间的过滤规则相关的知识,希望对你有一定的参考价值。

比如我抓了20秒的包,但我只想看前15秒的包,怎么写过滤规则.?
time < 15不行
time.time < 15不行
请问解决方法

一、IP过滤:包括来源IP或者目标IP等于某个IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl

四、包长度过滤:
比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤:
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
参考技术A 应该是没有根据时间来过滤的规则。你在Filter里面输入的time其实是Time Protocol(时间协议),百度百科里有“Time Protocol”这个词条。
因为Wireshark的包默认就是根据时间来排序的。你在View菜单里选择Time Display Format,然后选择时间格式为Seconds Since Beginning of Capture。用默认的排序,只要Time栏的数值小于15的都是你要的包。追问

但是我要summary 15秒之内的包喔...必须要过滤出来才能看到他的summary结果啊.

追答

那你看好你的15秒是第多少个包,假如你要的是前230个包,File→Save As,注意下面的Packet Range。先选择Range,然后输入:0-230。另外保存为一个文件就可以了。

本回答被提问者采纳
参考技术B

frame.time_epoch >1526460021.044075000 and frame.time_epoch <1526460021.132828000

可以根据这样的规则过滤

wireshark常用过滤规则

参考技术A 可使用单个或多个过滤条件(可使用==,>=等),多个条件时使用and or进行连接

例子:ip.src ==192.168.1.107 or ip.dst ==192.168.1.107

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.dstport == 80 // 只显tcp协议的目标端口80tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围tcp.port >= 1 and tcp.port <= 80

例子:

tcp udp arp icmp http smtp ftp dns等等

排除arp包,如!arp   或者   not arp

例子太以网头过滤

eth.dst == A0:00:00:04:C5:84 // 过滤目标mac

eth.src eq A0:00:00:04:C5:84 // 过滤来源mac

例子:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

例子:

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。

tcp contains "关键字"

9.报文

https://wiki.wireshark.org/SampleCaptures

以上是关于wireshark关于时间的过滤规则的主要内容,如果未能解决你的问题,请参考以下文章

wireshark常用过滤规则

wireshark常用过滤规则

WireShark 过滤规则

Wireshark技巧-过滤规则和显示规则

Wireshark-BPF过滤规则

Wireshark OSI二层抓包过滤规则和显示过滤规则实例