如何利用wireshark只抓特定字段的报文

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何利用wireshark只抓特定字段的报文相关的知识,希望对你有一定的参考价值。

方法/步骤

1
首先安装wireshark工具,如果没有该工具请百度下。
2
打开wireshark,我们看到默认抓包时是杂包,各种报文都有。

3
打开抓包选项。

4
输入主机地址和端口号,例如,我们想抓跟10.46.80.140主机通讯的HTTP相关报文,可以输入:host 10.46.80.140 and tcp port 80。然后点击开始。语法可以参考wireshark的帮助文档。

5
抓到的包,我们可以看到全是我们想要的报文,这样不需要后期过滤,给网络分析带来方便。

http://jingyan.baidu.com/article/cbf0e500fe794d2eab289347.html
参考技术A 一般是打开截包后,在filter框后面有个Expression...,点击后打开对话框,就可以选择各个协议的字段和相应的表达符号了。可以帮助你构建表达式的。

当然,你直接输入的话也可以的。 比如radius.User_Name==E13201029

================================================
再补充一下,在gui窗口,点中你红色标出来的字段的时候,wireshark左下角会显示字段名的。你也可以直接右键选择红色的部分,然后有菜单项作为 as filter 什么的。就直接过滤了。

使用scapy分析pcap报文

需求:

1、读取wireshark捕获的pcap报文

2、过滤出特定报文

3、分析特定报文的间隔时间是否符合规律


关键函数或变量:

rdpcap()

filter():使用lambda函数

p.time


可用ls()查看报文支持的字段,由于链路层和IP层用的字段重复,可以用p[IP].src代表IP源地址,类型为字符串。

p.load表示原始数据区,类型为字符串。

以上是关于如何利用wireshark只抓特定字段的报文的主要内容,如果未能解决你的问题,请参考以下文章

利用WIRESHARK捕获了一个ARP数据报文,其十六进代码表示为:000108000604000

使用scapy分析pcap报文

wireshark过滤器

Wireshark流量分析

wireshark精确到字节的过滤方法

IEC60870-104报文解析 —— 利用Wireshark对报文逐字节进行解析详细解析IEC60870-104附含模拟器以及pcap包