• 歡迎訪問奇跡の海網站,本站不上傳任何資源,所有資源均來自于網絡,歡迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下載資源為網絡上收集整理而來,并且以計算機技術研究交流為目的,版權歸原作者所有,僅供大家參考,學習,不存在任何商業目的與商業用途.
  • 本站系統鏡像均來自于官方原版,ed2k可視為P2P下載鏈接。所有操作系統默認均為試用版,如有正版密鑰可以有效激活,本站不提供任何激活和相關服務。

Wireshark-數據包過濾和分析

網絡技術 奇跡の海 1年前 (2018-05-05) 482次瀏覽 已收錄 0個評論 掃描二維碼

簡介

[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ]

過濾器可以幫助我們在龐雜的結果中迅速找到我們需要的信息。

Wireshark中主要有兩種過濾器,捕捉過濾器和顯示過濾器。

捕捉過濾器:用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置。

顯示過濾器:在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改。

兩種過濾器的目的是不同的。

1.捕捉過濾器是數據經過的第一層過濾器,它用于控制捕捉數據的數量,以避免產生過大的日志文件

2.顯示過濾器是一種更為強大(復雜)的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄

 

1.捕捉過濾器以及過濾表達式

 

設置捕捉過濾器的步驟是:
– 選擇 capture -> options。
– 填寫”capture filter”欄或者點擊”capture filter”按鈕為您的過濾器起一個名字并保存,以便在今后的捕捉中繼續使用這個過濾器。
– 點擊開始(Start)進行捕捉。

Wireshark-數據包過濾和分析

下例是在網絡接口WAN上捕捉ICMP數據包及其測試和分析過程:

Wireshark-數據包過濾和分析

然后我們在DOS下ping http://www.cqupt.edu.cn

結果顯示本機向www.cqupt.edu.cn(219.153.62.66)發送(Sent)了4個ICMP請求包, 接受(Received)了4個ICMP響應包

Wireshark-數據包過濾和分析

觀察捕獲的數據包結果:

113.250.155.133向219.153.62.66發送了4個ICMP請求包(Request)

219.153.62.66向113.250.155.133發送4個ICMP響應包(Reply)

Wireshark-數據包過濾和分析

雙擊第一行看到第一個ICMP請求包的詳細信息:

Wireshark-數據包過濾和分析

 

過濾表達式語法

語法:

Protocol

Direction

Host(s)

Value

Logical Operations

Other expression_r

Protocol(協議):

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcpand udp.

如果沒有特別指明是什么協議,則默認使用所有支持的協議。

Direction(方向):

可能的值: src, dst, src and dst, src or dst

如果沒有特別指明來源或目的地,則默認使用”src or dst”作為關鍵字。

例如,”host 10.2.2.2″與”src ordst host 10.2.2.2″是一樣的。

Host(s):

可能的值:net, port, host, portrange.

如果沒有指定此值,則默認使用”host”關鍵字。

例如,”src 10.1.1.1″與”src host10.1.1.1″相同。

Logical Operations(邏輯運算):

可能的值:not, and, or.

否(“not”)具有最高的優先級。或(“or”)和與(“and”)具有相同的優先級,運算時從左至右進行。

例如,

“not tcp port 3128 and tcp port23″與”(not tcp port 3128) and tcp port 23″相同。

“not tcp port 3128 and tcp port23″與”not (tcp port 3128 and tcp port 23)”不同。

例子:

tcp dst port 3128

顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1

顯示來源IP地址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來源IP地址為10.1.2.3的封包。

src portrange 2000-2500

顯示來源為UDP或TCP,并且端口號在2000至2500范圍內的封包。

not imcp

顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16)and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16,目的地TCP端口號在200至10000之間,并且目的位于網絡10.0.0.0/8內的所有封包。

tcp srcport 80 and tcp dst port 3128 and ip src host 10.1.1.1 and ip dst host 10.2.2.2

過濾源和目的IP地址,源和目的端口

arp and ether dst00:30:18:A3:D2:8E and src host 172.22.147.225

過濾條件ARP數據包,目的主機MAC地址 ,源主機IP地址

注意事項:

使用關鍵字作為值時,需使用反斜杠“\”。

“ether proto \ip” (與關鍵字”ip”相同).

這樣寫將會以IP協議作為目標。

“ip proto \icmp” (與關鍵字”icmp”相同). 【前面的例子中使用的該表達式】

這樣寫將會以ping工具常用的icmp作為目標。

可以在”ip”或”ether”后面使用”multicast”及”broadcast”關鍵字。

當您想排除廣播請求時,”not broadcast”就會非常有用。

2. 顯示過濾器

通常經過捕捉過濾器過濾后的數據還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。
它的功能比捕捉過濾器更為強大,而且在您想修改過濾器條件時,并不需要重新捕捉一次。

語法: Protocol .

String 1

.

String 2

Comparison
operator

Value

Logical
Operations

Other
expression_r

例子:

ftp

passive

ip

==

10.2.3.4

xor

icmp.type

Protocol(協議):
您可以使用大量位于OSI模型第2至7層的協議。點擊”Expression…”按鈕后,您可以看到它們。
比如:IP,TCP,DNS,SSH
String1, String2(可選項):
協議的子類。
點擊相關父類旁的+號,然后選擇其子類。
Comparison operators (比較運算符):
可以使用6種比較運算符:

英文寫法: C語言寫法: 含義:

eq

==

等于

ne

!=

不等于

gt

>

大于

lt

<

小于

ge

>=

大于等于

le

<=

小于等于

Logical expression_rs(邏輯運算符):

英文寫法: C語言寫法: 含義:

and

&&

邏輯與

or

||

邏輯或

xor

^^

邏輯異或

not

!

邏輯非

xor貌似不能使用

例子:

snmp || dns || icmp 顯示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1

顯示來源或目的IP地址為10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

顯示來源不為10.1.2.3或者目的不為10.4.5.6的封包。

tcp.port == 25 顯示來源或目的TCP端口號為25的封包。
tcp.dstport == 25 顯示目的TCP端口號為25的封包。
tcp.flags 顯示包含TCP標志的封包。
tcp.flags.syn == 0x02 顯示包含TCP SYN標志的封包。

如果過濾器的語法是正確的,表達式的背景呈綠色。如果呈紅色,說明表達式有誤。

3.Follow TCP Stream

1.Follow TCPStream–>tcp.stream eq 0

 

過濾第1個完整協議

右鍵菜單選擇Follow TCP Stream ,則顯示過濾器自動變為tcp.stream eq 0(標識一個完整協議的編號)
tcp.stream eq 0

在選擇Follow TCP Stream之后彈出的一個對話框中選擇Filter out this stream

Filter out this stream應用一個顯示過濾,在顯示中排除當前選擇的TCP流,即!(tcp.stream eq 0)

2. 保存過濾

在Filter欄上,填好Filter的表達式后,點擊Save按鈕, 取個名字。比如”tcp_stream”,

Wireshark-數據包過濾和分析


版權聲明:本站所有文章和資源使用CC BY-NC-SA 4.0協議授權發布 , 轉載應當以相同方式注明文章來自“SeaOMC.COM->Wireshark-數據包過濾和分析!在下邊可以分享本文哦!
喜歡 (0)
[]
分享 (0)
奇跡の海
關于作者:
一個WordPress菜鳥!
發表我的評論
取消評論

表情 貼圖 加粗 刪除線 居中 斜體 簽到

Hi,您需要填寫昵稱和郵箱!

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
中国福利彩票36选7开奖结果