Wireshark過濾規(guī)則使用

創(chuàng)新互聯(lián)是一家專業(yè)的成都網(wǎng)站建設(shè)公司，我們專注成都網(wǎng)站建設(shè)、成都做網(wǎng)站、網(wǎng)絡(luò)營銷、企業(yè)網(wǎng)站建設(shè)，友情鏈接，廣告投放為企業(yè)客戶提供一站式建站解決方案，能帶給客戶新的互聯(lián)網(wǎng)理念。從網(wǎng)站結(jié)構(gòu)的規(guī)劃UI設(shè)計(jì)到用戶體驗(yàn)提高，創(chuàng)新互聯(lián)力求做到盡善盡美。

一、    MAC地址過濾

命令匯總：

eth.addr==20:dc:e6:f3:78:cc

eth.src==20:dc:e6:f3:78:cc

eth.dst==20:dc:e6:f3:78:cc

1、根據(jù)MAC地址進(jìn)行篩選

使用命令：eth.addr==20:dc:e6:f3:78:cc

命令解說：篩選出MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包，包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部數(shù)據(jù)包。

2、根據(jù)源MAC地址篩選

使用命令：eth.src==20:dc:e6:f3:78:cc

命令解說：篩選出源MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包

3、根據(jù)目的MAC地址篩選

使用命令：eth.dst==20:dc:e6:f3:78:cc

命令解說：篩選出目的MAC地址是20:dc:e6:f3:78:cc的數(shù)據(jù)包。

二、    IP地址過濾

ip.addr==192.168.1.122         //根據(jù)IP地址篩選，包括源ip或者目的IP

ip.src==192.168.1.122         //根據(jù)源IP地址篩選

ip.dst==192.168.1.122         //根據(jù)目的IP地址篩選

1、根據(jù)IP地址進(jìn)行篩選

使用命令：ip.addr==192.168.1.122

命令解說：篩選出IP地址是192.168.1.122的數(shù)據(jù)包，包括源IP地址或者目的IP地址使用的是192.168.1.122的全部數(shù)據(jù)包。

2、根據(jù)源IP地址篩選

使用命令：ip.src==182.254.110.91

命令解說：篩選出源IP地址是182.254.110.91的數(shù)據(jù)包

3、根據(jù)目的IP地址篩選

使用命令：ip.dst==192.168.1.122

命令解說：篩選出目的地址是192.168.1.122的數(shù)據(jù)包。

三、    端口過濾

端口過濾。如過濾80端口，在Filter中輸入，tcp.port==80，這條規(guī)則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為80的，tcp.srcport==80只過濾源端口為80的包；

tcp.port==80                 //根據(jù)TCP端口篩選數(shù)據(jù)包，包括源端口或者目的端口

tcp.dstport==80              //根據(jù)目的TCP端口篩選數(shù)據(jù)包。

tcp.srcport==80              //根據(jù)源TCP端口篩選數(shù)據(jù)包。

udp.port==4010             //根據(jù)UDP端口篩選數(shù)據(jù)包，包括源端口或者目的端口

udp.srcport==4010           //根據(jù)源UDP端口篩選數(shù)據(jù)包。

udp.dstport==4010          //根據(jù)目的UDP端口篩選數(shù)據(jù)包。

1、篩選TCP端口

使用命令：tcp.port==80

命令解說：篩選出TCP端口是80通信的數(shù)據(jù)包，包括源端口使用TCP 80或者目的端口使用tcp 80端口的數(shù)據(jù)包。

2、篩選目的端口數(shù)據(jù)包

使用命令：tcp.dstport==80

命令解說：篩選出目的端口使用的是TCP 80通信的數(shù)據(jù)包

3、篩選源端口數(shù)據(jù)包

使用命令：tcp.srcport==80

命令解說：篩選出源端口是采用tcp 80端口的數(shù)據(jù)包。

四、   協(xié)議篩選

根據(jù)通訊協(xié)議進(jìn)行篩選數(shù)據(jù)包，例如http協(xié)議、ftp協(xié)議等等。常用協(xié)議有下：

udp

tcp

arp

icmp

smtp

pop

dns

ip

ssl

http

ftp

telnet

ssh

rdp

rip

ospf

1、篩選出http協(xié)議數(shù)據(jù)包

協(xié)議篩選相對來說比較簡單，直接在過濾窗口（filter）輸入?yún)f(xié)議即可。例如篩選出http協(xié)議的數(shù)據(jù)如下圖：

注意：在進(jìn)行協(xié)議篩選的時(shí)候，協(xié)議名稱一定要寫成小寫，否則會出錯(cuò)的。

2、篩選出http的GET數(shù)據(jù)包

使用命令：http.request.method==GET

命令解說：篩選出http協(xié)議采用get方式的數(shù)據(jù)包。注意GET一定要寫成大寫，否則篩選不出來的。

3、篩選出http的POST數(shù)據(jù)包。

使用命令: http.request.method==POST

命令解說：篩選出采用http協(xié)議的post方式的數(shù)據(jù)包，注意POST參數(shù)一定要寫成大寫的，否則篩選不出來數(shù)據(jù)。

五、邏輯條件組合篩選

邏輯表達(dá)式匯總：

||                                //邏輯或

&&                              //邏輯與

!                                   //邏輯非

1、邏輯與篩選方法

使用命令：ip.src==192.168.1.122&&ip.dst==121.114.244.119

命令解說：篩選出源ip地址是192.168.1.122并且目的地址是121.114.244.119的數(shù)據(jù)包。在使用的時(shí)候也可以用括號進(jìn)行包含區(qū)分，上面的命令也可以等價(jià)于以下命令

（ip.src==192.168.1.122）&&（ip.dst==121.114.244.119）

2、邏輯或篩選

使用命令：ip.src==192.168.1.122||ip.src==182.254.110.91

命令解說：篩選出源IP地址是192.168.1.122或者源ip地址是182.254.110.91的數(shù)據(jù)包

3、邏輯非篩選

使用命令：!(ip.addr==192.168.1.122)

命令解說：篩選出不是192.168.1.122的數(shù)據(jù)包。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文名稱：wireshark抓包工具常用篩選命令方法-創(chuàng)新互聯(lián)
轉(zhuǎn)載來源：http://weahome.cn/article/ioppo.html