Wireshark系列之5 显示过滤器

简介:

对于我们个人用户,显示过滤器相比捕获过滤器要更为常用。显示过滤器主要适用于单机环境流量不大的情况。对于攻击者而言,往往不知道需要什么样的数据包,只能在抓包审计之后再确定,因而也通常选用显示过滤器。

当停止捕获数据之后,在数据包列表上面的过滤框中输入过滤表达式,就可以只显示我们需要的数据包。比如输入表达式“http”,就只显示采用http协议的数据包,点击过滤框右侧的×,可以去掉过滤规则,重新显示所有数据包。

image

1)语法规则

显示过滤器的语法规则:

image

在显示过滤器所采用的过滤表达式中,经常要用到各种比较运算符,主要有:

比较运算符

说明

==

等于

!=

不等于

>

大于

<

小于

>=

大于等于

<=

小于等于

应用示例:

ip.addr == 192.168.0.1 //筛选出含有IP地址192.168.0.1的包

ip.src == 192.168.0.1 //筛选出源地址为192.168.0.1的包

ip.dst == 192.168.0.1 //筛选出目的地址为192.168.0.1的包

frame.len<=128 //只显示长度小于128字节的包

tcp.port == 80 //只显示含有80端口的包

tcp.dstport == 25 //只显示目的TCP端口号为25的包

tcp.port > 1024 //只显示端口号大于1024的包

显示过滤器中的逻辑运算符:

逻辑运算

逻辑运算符

and、&&

or、||

!、not

应用示例:

http //只显示采用http协议的包

http or arp //只显示采用http或arp协议的包

snmp || dns || icmp //显示采用SNMP或DNS或ICMP协议的包

not arp //不显示采用arp协议的包

!tcp //不显示采用tcp协议的包

!(ip.addr == 192.168.0.1) //排除含有IP地址192.168.0.1的包

注意,如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,则说明表达式有误。

2)自动添加过滤表达式

有些过滤表达式的写法是比较复杂的,下面介绍一种相对简单的方法,可以自动添加过滤表达式。

首先清除之前的过滤结果,显示完整的数据包。

然后选择一条我们希望在过滤后能保留下来的数据包,比如要过滤出所有HTTP协议中以POST方式发送的数据包,我们先手动找到这样的一个数据包,比如在第3个包的Info中出现了POST信息。

image

选定3号包,查看该数据包的详细信息。在应用层Hypertext Transfer Protocol中的POST部分再次展开后可以看到Request Method:POST。

image

在Request Method:POST上点击右键,选择“作为过滤器应用/选中”。

image

此时就可以发现,过滤器中已经填写上了对应的过滤规则。同时显示也变成了对应的过滤规则下的数据包。

image

如果我们想要找方法为GET的包,直接将POST改成GET即可。

使用这种方式,难度在于需要事先找到一条含有自己想要的过滤信息的数据包。相比较而言这种方式更加适于初学者,简单易行,而且时间久了,会慢慢的熟悉常见的过滤语句,直到最终直接输入。

3)保存过滤后的数据包

我们可以将过滤后的数据包保存下来以备以后随时使用,比如我们要保存http.request.method == "POST"的数据包,在文件菜单中选择“导出特定分组”。

image

选择之后,可以看到保存的方式有多种。可以保存所有的数据包(Captured),也可以只保存过滤后的数据包(Displayed)。下方的数据显示,在所有的344条数据包中,有62条为满足我们过滤条件的数据包。一般情况下都是选择Displayed。

image


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1737031


相关文章
|
域名解析 网络协议
网络协议与攻击模拟-02-wireshark使用-显示过滤器
网络协议与攻击模拟-02-wireshark使用-显示过滤器
103 0
|
网络协议
Wireshark 捕获和显示过滤器
Wireshark 捕获和显示过滤器
169 0
|
5月前
|
网络协议
wireshark 显示过滤表达式
wireshark 显示过滤表达式
47 9
|
4月前
|
网络协议 安全 网络安全
WireShark 中的数据包捕获和过滤器详解
【8月更文挑战第20天】
350 0
|
5月前
|
网络协议 PHP
Wireshark常用过滤器表达式汇总
【7月更文挑战第6天】Wireshark 抓包和显示过滤器用于精确定位网络流量。
|
7月前
|
网络协议
Wireshark 如何过滤抓到的网络包?
Wireshark 如何过滤抓到的网络包?
|
监控 C# 开发者
如何使用Fiddler Filter与 FiddlerScript 过滤本机网络请求
网络抓包是一个很常见的需求,目前流行且持续维护,并经受了一定时间考验的工具不多,Telerik推出的免费软件Fiddler是一个非常不错的选择,本文将介绍如何在Fiddler工具中过滤请求
396 0
如何使用Fiddler Filter与 FiddlerScript 过滤本机网络请求
charles 过滤器-简单过滤和设置过滤
charles 过滤器-简单过滤和设置过滤
wireshark过滤规则
wireshark是一款抓包软件,常用来分析网络底层协议,寻找网络安全问题,平时用的最多的是过滤功能,wireshark的过滤分功能有两种,抓包过滤器和显示过滤器
194 0