wireshark的filter的使用-创新互联
wireshark 有两种过滤器。
创新互联建站成都网站建设按需策划设计,是成都网站维护公司,为柴油发电机提供网站建设服务,有成熟的网站定制合作流程,提供网站定制设计服务:原型图制作、网站创意设计、前端HTML5制作、后台程序开发等。成都网站设计热线:13518219792捕获过滤器
显示过滤器
捕获过滤器----Capture---->Options---->Capture Filter。
BPF限定词(Berkeley Packet Filter)
例子: host、net、port、src、dst、ether、ip、tcp、udp、http、ftp。
操作符: && || !。
比如:dst host 200.0.0.1 && tcp port 80
port http但不能是http。
icmp[0]==8表示数据包偏移量为0的位置值为8。
icmp[0:2]==0x0301表示数据包偏移量为0再延续两个字节,值为0x0301。
icmp数据包格式:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | unused | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Internet Header + 64 bits of Original Data Datagram | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
详见:http://www.ietf.org/rfc/rfc792.txt
TCP Header Format 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sequence Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Acknowledgment Number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data | |U|A|P|R|S|F| | | Offset| Reserved |R|C|S|S|Y|I| window | | | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Checksum | Urgent Pointer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | data | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ TCP Header Format详见:http://www.ietf.org/rfc/rfc793.txt只捕获tcp标志为是RST的数据包了?tcp[13]&4==4,数据包位偏移13字节,那“&4”是什么意思了?因为RST在这第13字节代表数字4[*(128) *(64) urg(32) ack(16) psh(8) rst(4) syn(2) fin(0)]。那syn+ack了?tcp[13]==18。显示过滤器
点击expression后可指定详细的表达式。下面是些常用的:ip.addr==192.168.1.1frame.len<=128帧长度小于等于128字节。ip.addr==1.1.1.1 || ip.addr==2.2.2.2tcp.port==80或者http。填写好后点击apply就可以生效了。
具体的自己可以慢慢研究。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
名称栏目:wireshark的filter的使用-创新互联
转载来源:http://azwzsj.com/article/dgpoih.html