Wiresahrk抓包過濾技術

一、抓包過濾器

捕捉過濾器（CaptureFilters）：用于決定将什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定

顯示過濾器（DisplayFilters）：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果後随意修改

捕捉過濾器是資料經過的第一層過濾器，它用于控制捕捉資料的數量，以避免産生過大的日志檔案

顯示過濾器是一種更為強大（複雜）的過濾器。它允許您在日志檔案中迅速準确地找到所需要的記錄

文法：    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression

例子：       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

協定:ether、 ip、arp、 rarp、tcp and udp等（沒有特别指明什麼協定，預設抓取所有協定）

方向:src、dst、 src and dst（沒有特别指明源或目的地，預設為 “src or dst” 作為關鍵字）

類型:net、 port、host、portrange（沒有指定此值，預設使用”host”關鍵字）

邏輯運算符:not非！、 and與||、 or或&&

src portrange 2000-2500顯示來源為UDP或TCP，并且端口号在2000至2500範圍内的封包

抓包過濾器操作步驟

<a href="https://s4.51cto.com/wyfs02/M00/96/59/wKioL1kgIEmTiwvdAAUZv4A3mDU187.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M00/96/59/wKioL1kgIFuAb8fhAAIcGqTnN5U075.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M01/96/58/wKiom1kgIF7SywBYAAMBI-ZoL_s603.jpg" target="_blank"></a>

二、流量不大的時候使用顯示過濾器

文法：    Protocol.String 1.String 2 Comparisonoperator    Value    LogicalOperations  

例子：    ip.src.addr             ==        10.1.1.1    and   

==等于

！=不等于

&gt;=大于等于

&lt;=小于等于

and兩個條件同時滿足

or其中一個條件被滿足

not沒有條件被滿足

IP位址:ip.addr、ip.src、ip.dst

端口過濾:tcp.port、tcp.srcport、tcp.flag.syn等

顯示過濾器操作步驟

<a href="https://s1.51cto.com/wyfs02/M01/96/59/wKioL1kgJI7B7DKBAALHoHCmby8573.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M02/96/59/wKioL1kgJJfwlzerAAKvT0kTmeg278.jpg" target="_blank"></a>

如果不熟悉表達式

1、過濾端口

tcp.port == 80 #不管端口是來源的還是目标的都顯示

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 #隻顯tcp協定的目标端口80

tcp.srcport == 80 #隻顯tcp協定的來源端口80

tcp.port &gt;= 1 and tcp.port &lt;= 80 #過濾端口範圍

2、過濾MAC

太以網頭過濾

eth.dst == E4:D5:3D:A2:64:95 #過濾目标MAC

eth.src eq E4:D5:3D:A2:64:95 #過濾來源MAC

eth.addr eq E4:D5:3D:A2:64:95 #過濾來源MAC和目标MAC都等于A0:00:00:04:C5:84的

!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC

3、過濾IP

ip.src == 192.168.0.104 過濾ip為192.168.0.104

4、包長度過濾

udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料包之和

tcp.len &gt;= 7   指的是ip資料包(tcp下面那塊資料),不包括tcp本身

ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最後

frame.len == 119 整個資料包長度,從eth開始到最後

eth —&gt; ip or arp —&gt; tcp or udp —&gt; data

5、http模式過濾

http.request.method == GET

http.request.method == POST

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

6、DHCP

以尋找僞造DHCP伺服器為例，在顯示過濾器中加入過濾規則，

顯示所有非來自DHCP伺服器并且bootp.type==0x02（Offer/Ack/NAK）的資訊：

bootp.type==0x02 and not ip.src==192.168.1.1

7、檢視DNS流量

dns.flags==0x0100

<a href="https://wiki.wireshark.org/CaptureFilters">https://wiki.wireshark.org/CaptureFilters</a>

Network monitor：通過一個内建程式來執行的網絡分析器（該程式在作業系統安裝盤的“administrator Tool”檔案夾中，但它不是預設安裝的，是以需要從安裝盤中添加安裝）

QQ檔案無法通路

1、通過Network monitor擷取到軟體的互動資料IP和端口範圍

(此Network monitor類似wireshark抓包工具)

2、将資料包導入到wireshark裡面進行分析

3、通過IP和端口等條件對資料包進行過濾

4、根據資料流，對資料流進行分析

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1927813，如需轉載請自行聯系原作者