wireshark过滤器

Posted 2020-10-28

过滤器分为抓包过滤器和显示过滤器

抓包过滤器配置于抓包前，配置后，只抓经过抓包过滤器过滤的包
显示过滤器配置于抓包后，配置后，将已抓取的包进行过滤，得出心仪的包

抓包过滤器：

只抓取以太网类型为0x0800的流量 　　ether proto 0800
只抓vlan 10 的流量　　vlan 10
抓 vlan 10 、vlan 20 、 vlan 30 的流量　　vlan 10 and vlan 20 and 30
只抓发往主机10.1.1.1的所有流量　　dest host 10.1.1.1
只抓源于192.168.1.0/24的所以流量　　src net 192.168.1.0/24 或src net 192.168.1.0 netmask 255.255.255.0
不抓广播或多播　　no broadcast 或 no multicast
只抓源于或发往2001::/16的ipv6数据包　　net 2001::/16
只抓取icmp流量　　ip proto 1
只抓ICMP echo request 流量 icmp[icmptype]==icmp-echo或icmp[icmptype]==8
只抓目的端口为80的数据包 dst port 80 或 dst port http
只抓所有TCP连接中用来发起（SYN标记位置1）连接或终止链接（FIN标记位置1）的数据包（TCP连接属于全双工连接，客户端与服务器之间会建立双向连接　　tcp [tcpflags] & (tcp-syn | tcp-fin) != 0
只抓RST标记位置1的TCP数据包　　[tcpflags]&（tcp-rst） !=0
抓特定长度的包,长度小于10　　len<= 10
只抓源或目的端口范围在2000到2500之间的TCP数据包　　tcp portrange 2000-2500
抓取所以TELNET流量，但由主机192.168.1.1发起的除外　　tcp port 23 and not src host 192.168.1.1
proto[offset:bytes]　　根据字节偏移和净载匹配来过滤
proto（协议类型：ip\udp\tcp等）【从协议头部的开始所偏移的字节数：抓包过滤器所要检查的字节数】
只抓目的端口范围为50-100的TCP数据包　　tcp[2:2]>50 and tcp[2：2]<100
只抓窗口大小字段值低于8192的TCP数据包　　tcp[14:2]<8192
ipv4多播流量：以太网帧的目的MAC地址必以01：00：5e打头
ipv6多播流量：以太网帧的目的MAC地址必以33：33打头

SYN：打开连接
FIM：拆除连接
ACK: 确认收到数据
RST：立即拆除连接
PSH：表示应将数据提交给末端应用程序（进程）处理

显示过滤器：

包含某个（串）字符 contains　　//http.host contains cisco
某串字符匹配某个条件 match　　 //http.host matches www.cisco.com
在参数和条件操作符之间可以留空格，也可以不留空格
源和目的IP地址至少一个不为 192.168.1.100 　　// ip.addr != 192.168.1.100
源和目的ip地址均不为 192.168.1.100 　　//!(ip.addr == 192.168.1.100)
ETHERNET过滤器：只显示发往或源于具有某MAC地址的主机的数据帧　　 //eth.src==10:0b:a9:33:64:12
ARP过滤器：只显示请求帧 　　//arp.opcode==1
IP、ICMP过滤器　　 //ip.src == 10.1.1.1
只显示交换与一一对IP主机之间的所有IP数据包 　　//ip.addr==200.1.1.1 and ip.addr==19.168.1.1
只显示发往IP多播目的地址的所有数据包 　　//ip.dse == 224.0.0.0/4
只显示发往或源于某个IPV6地址的主机的IPV6数据包 　　//ipv6.addr==::1
显示指定IP子网（10.0.0.0/24）的主机，发往域名中包含指定字符串的网站（比如sohu）的所有IP流量 　　//ip.src==10.0.0.0/24 and http.host contains "souhu"
显示发源于指定IP子网（10.0.0.0/24）的所有IP广播流量　　 //ip.src==10.0.0.0/24 and eth.dst==ffff.ffff.ffff
只显示是所有广播包，但主机执行ARP请求操作时所触发的广播包除外 　　//not arp and eth.dst==ffff.ffff.ffff
显示除ICMP和ARP外所有流量 　　//not arp && not icmp
根据TCP/UDP端口来筛选包 　　//tcp.port == 《value》//udp.srcport==<value>
tcp.analysis:分析TCP重传、重复确认、窗口大小、
tcp.analysis.retransmission
tcp.analysis.duplicate_ack
tcp.analysis.zero_window
tcp.flags:检查数据包TCP头部中各标记位的置位情况
tcp.flags.syn==1
tcp.flags.reset==1
tcp.flags.fin==1
tcp.window_size_value<10 //检查头部窗口大小字段值低于10的数据包
HTTP显示过滤器：
显示访问某指定主机名的HTTP协议数据包　　//http.host=="www.baidu.com"
显示包含HTTP GET方法的HTTP数据包 　　//http.request.method=="GET"
显示HTTP客户端发起的包含指定URI请求的HTTP数据包 // http.request.uri == "/v2/rating/mail.goole.com"
显示包含字符串："mail.google.com"的URI请求的HTTP数据包 　　//http.request.uri contains "mail.google.com"
显示网络中传播的所有包含COOKIE请求的HTTP协议数据包 　　//http.cookie
显示所有包含HTTP服务器发送给HTTP客户的COOLIE SET命令的HTTP数据包 　　//http.set_cookie
显示包含ZIP文件中的HTTP数据包 　　//http matches ".zip" && http.request.method=="GET"
DNS显示过滤器：
dns.flags.response==0　　//DNS查询
dns.flags.response==1 　　//DNS响应
FTP过滤器：
显示所有包含特定FTP请求命令的FTP数据包　　//ftp
显示所有从TCP端口20或从其他端口发出的包含实际FTP数据的FTP数据包　　//ftp-data

正则表达式：

^:匹配行开头
$:匹配行结尾
|：二选一
*：0至多次
+：1至多次
？:最多一次
{n}:精确N次
{n,}：至少N次
{n,m}:不低于N次也不高于M次