如何利用wireshark只抓特定字段的报文
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何利用wireshark只抓特定字段的报文相关的知识,希望对你有一定的参考价值。
方法/步骤1
首先安装wireshark工具,如果没有该工具请百度下。
2
打开wireshark,我们看到默认抓包时是杂包,各种报文都有。
3
打开抓包选项。
4
输入主机地址和端口号,例如,我们想抓跟10.46.80.140主机通讯的HTTP相关报文,可以输入:host 10.46.80.140 and tcp port 80。然后点击开始。语法可以参考wireshark的帮助文档。
5
抓到的包,我们可以看到全是我们想要的报文,这样不需要后期过滤,给网络分析带来方便。
http://jingyan.baidu.com/article/cbf0e500fe794d2eab289347.html 参考技术A 一般是打开截包后,在filter框后面有个Expression...,点击后打开对话框,就可以选择各个协议的字段和相应的表达符号了。可以帮助你构建表达式的。
当然,你直接输入的话也可以的。 比如radius.User_Name==E13201029
================================================
再补充一下,在gui窗口,点中你红色标出来的字段的时候,wireshark左下角会显示字段名的。你也可以直接右键选择红色的部分,然后有菜单项作为 as filter 什么的。就直接过滤了。
使用scapy分析pcap报文
需求:
1、读取wireshark捕获的pcap报文
2、过滤出特定报文
3、分析特定报文的间隔时间是否符合规律
关键函数或变量:
rdpcap()
filter():使用lambda函数
p.time
可用ls()查看报文支持的字段,由于链路层和IP层用的字段重复,可以用p[IP].src代表IP源地址,类型为字符串。
p.load表示原始数据区,类型为字符串。
以上是关于如何利用wireshark只抓特定字段的报文的主要内容,如果未能解决你的问题,请参考以下文章
利用WIRESHARK捕获了一个ARP数据报文,其十六进代码表示为:000108000604000
IEC60870-104报文解析 —— 利用Wireshark对报文逐字节进行解析详细解析IEC60870-104附含模拟器以及pcap包