by addy 原创文章,欢迎转载,但希望全文转载,注明本文地址。

本文地址:http://www.iamaddy.net/2014/08/wireshark/

wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

比值运算

Item 表达式 表达式 表达式
等于 Equal eq ==
不等于 Not Equal ne !=
大于 Greater Than gt >
小于 Less Than lt <

逻辑运算

Item 表达式 表达式 表达式
与运算 Logical AND and &&
或运算 Logical OR or ||
非运算 Logical NOT not !

搜索和匹配参数

Item 表达式 表达式
包含 contains “” 可以搜索一个字符串或者是一个bytes,不能用于原子字段,例如数字或者IP地址
匹配 match “” 支持基于perl规则的正则表达式,对应协议或协议负载内的字符串

协议过滤

  • tcp.port == 53
  • http.request.method == “GET”
  • ip.src == 10.230.0.0
  • tcp.dstport == 25

内容过滤

  • http contains “/min/”
  • http.request.uri matches “/min/”

封包详细信息

包列表:

wireshark语法

双击每个包,得封包信息:
wireshark语法
这个面板是我们最重要的,用来查看协议中的每一个字段。
各行信息分别为:

  • Frame: 物理层的数据帧概况
  • Linux cooked: 数据链路层以太网帧头部信息
  • Internet Protocol Version 4: 互联网层IP包头部信息
  • Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
  • Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

 

 

本文为原创文章,可能会经常更新知识点以及修正一些错误,因此转载请保留原出处,方便溯源,谢谢合作

本文地址:http://www.iamaddy.net/2014/08/wireshark/

想要打赏?你的鼓励是我前进的动力! addy打赏二维码

关注个人公众号web_lab,不定期更新一些干货~ web_lab公众号