wireshark常用过滤命令

wireshark常用过滤命令

  • wireshark抓包介绍
    • 单机单点:
    • 单机多点:
    • 双机并行:
  • wireshark界面认识
    • 默认布局
    • 调整布局(常用)
    • 显示FCS错误
  • wireshark常见列
    • Time
    • 回包
    • 数据报对应网络模型
  • wireshark基本操作
      • 结束抓包
      • 再次开始抓包
  • **wireshark常用过滤命令**
    • 一、过滤协议
    • 二、过滤IP
    • 三、过滤端口
    • 四、过滤方向
    • 五、过滤http
      • ①过滤http模式
      • ②模糊匹配字符串
    • 六、tcp stream过滤
    • 七、过滤rst
    • 常用示例:
      • 分析DSCP值

wireshark抓包介绍

有99%的网络故障都是可以通过通用故障排除流程来解决的。
只有当常规手段无法查明网络故障时才抓包进行分析。
抓包分析也不是万能的,无法看出网络拓扑是怎样的,路由是怎样走的,哪根网线断了。image.png

单机单点:

只抓本机网络数据包

单机多点:

必须有一台可管理交换机,在交换机上配置端口镜像功能,将其他端口上的流量都复制到抓包主机所连端口,这样就能在一台主机上抓去其他主机甚至全部网络流量的网络数据包

双机并行:

是在特定网络设备,比如防火墙的前 后端 各部署一个抓包主机同时抓包,然后进行比对分析,看数据包在经过特定的网络设备时,是否存在异常

wireshark界面认识

默认布局

image.png

调整布局(常用)

https://blog.csdn.net/qq_27071221/article/details/122979427
编辑—》首选项—》外观—》布局
image.png

显示FCS错误

wireshark默认不显示FCS错误,需要自己开启配置
image.png
image.png

# 过滤所有错包
eth.fcs_bad

在数据包列表中,所有的错包都会带上这个小尾巴
image.png
出现FCS值不匹配,很大概率是网络硬件故障
0x00000000这个0值错包,虽然Google认为是Wireshark误判,但实际上很少见,依然大概率是硬件故障
image.png
出现错包,对TCP协议并无影响,但会影响UDP协议,因为UDP协议没有纠错机制

# 过滤所有错包,并 排除0值错包
eth.fcs_bad and !eth.fcs == 0x00000000

wireshark常见列

Time

Time(时间)列:从第2数据包开始,都是相对于第1数据包的时间
时间是可以切换绝对时间的,但建议用默认设置。
image.png

回包

这两个箭头,表示一个发包,一个回包。
image.png

数据报对应网络模型

image.png

wireshark基本操作

  1. 打开软件
  2. 选择网卡
  3. 即开始抓包,

结束抓包

image.png

再次开始抓包

image.png

wireshark常用过滤命令

https://cloud.tencent.com/developer/article/1618433
一般比较常用的就几个:

# 过滤指定ip地址
ip.addr==xxx.xxx.xxx.xxx# 过滤指定tcp端口
tcp.port=xxx# 过滤指定udp端口
udp.port==xxx

我一般会先用具体协议过滤个大概,比如tcp、udp、ssh、ftp、icmp、ssl、http、smtp等

一、过滤协议

  • tcp
  • udp
  • arp
  • icmp
  • http
  • smtp
  • ftp
  • dns
  • ssl
  • ssh

二、过滤IP

ip.src eq ${IP} or ip.dst eq ${IP}# 或
ip.addr eq IP

eq也可以用==代替
"不等于"怎么表达?测试!=不行,得用not xxyy,例如not tcp.port3389 && not ip.addr10.135.71.54 && not tcp.port80(tcp端口不等于3389且tcp端口不等于22且地址不等于10.135.71.54)
再比如
!ssl 或者 not ssl
!(arp.src192.168.1.1) and !(arp.dst.proto_ipv4192.168.1.243)

三、过滤端口

# 过滤tcp端口==443
tcp.port eq 443# 过滤tcp目标端口==80 或 tcp源端口==80
tcp.dstport == 80 or tcp.srcport == 80# 过滤udp端口==53
udp.port eq 53

四、过滤方向

关键字解释
src
dst目的地
src and dst源 and 目的地
src or dst源 or 目的地
srcport源端口
dstport目的地端口
srcport and dstport源端口 and 目的地端口
srcport or dstport源端口 or 目的地端口

五、过滤http

①过滤http模式

# 过滤请求方法为HEAD的数据包
http.request.method == "HEAD"# 过滤请求方法为GET的数据包
http.request.method == "GET"# 过滤请求方法为POST的数据包
http.request.method == "POST"

②模糊匹配字符串

http字符串过滤,这个字符串可以在Server部分,在URI部分,在域名部分等等

# 找到所有请求的路径 uri包含 xxx 的 HTTP 请求
http.request.uri contains "xxx"# 过滤包含 error 的 HTTP 请求或响应数据包
http contains "xxx"

六、tcp stream过滤

tcp.stream eq $streamindex

七、过滤rst

可以用这个条件找异常

# 找到所有被主机拒绝的连接请求
rst: tcp.flags.reset == 1 and tcp.ack == 0

例如

# 找到符合ip地址条件的,所有被主机拒绝的连接请求
ip.addr==10.1.2.35 && ip.addr==115.159.131.24 && tcp.flags.reset == 1

# 捕获多播地址和广播地址
# 捕获MAC地址最低位为1的数据包
## 在以太网协议中,MAC地址的最低位为1时,表示该地址为多播地址或广播地址。
eth[0] & 1

常用示例:

个人实际应用中遇到的一些分析场景。


分析DSCP值

在Wireshark中,您可以使用以下过滤器来筛选包含特定DSCP值的数据包:

ip.dsfield.dscp==xx

其中xx是您要筛选的DSCP值

# 显示tcp数据包,并且其IP包头的dscp值不为0
!(ip.dsfield.dscp == 0) && tcp

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/34578.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Android 第三方框架:网络:OkHttp:源码分析:拦截器

文章目录 涉及到的设计模式 责任链模式:ArrayList策略模式:Interceptor和XXXInterceptor源码分析API总结涉及到的设计模式 责任链模式:ArrayList ArrayList 用ArrayList作为保存顺序的数据结构 把系统提供的各种Interceptor和自定义的Interceptor放入ArrayList中 RealI…

Maven高级-证书校验

文章目录 SSL忽略配置IDEA里配置SSL忽略补充场景 SSL忽略配置 mvn -X clean install -Dmaven.resolver.transportwagon -Dmaven.wagon.http.ssl.insecuretrue -Dmaven.wagon.http.ssl.allowalltrue -Dmaven.wagon.http.ssl.ignore.validity.datestrueIDEA里配置SSL忽略 两个地…

基于豆瓣电影TOP250的可视化设计

本文要完成的目的,实现豆瓣电影TOP250的可视化 思路 讲解思路,采用倒推的方式, 首先确定可视化图表,也就是最终的效果。这样就能确定需要那些基础数据根据需要的数据进行按需爬取存储。 本篇文章完成前两步。可视化图表设计 和 …

docker0 网络更改

目录 1. 停止docker服务 2. 关闭docker默认桥接网络接口 3. 从系统删除docker0接口 4. 创建一个名为bridge0的新接口 5. 添加ip地址和子网掩码 6. 启用bridge0接口 7. (如果没起来就执行该句) 8. 查看ip 1. 停止docker服务 sudo service docker…

【Linux】进程间通信_2

文章目录 七、进程间通信1. 进程间通信分类管道 未完待续 七、进程间通信 1. 进程间通信分类 管道 管道的四种情况: ①管道内部没有数据,并且具有写端的进程没有关闭写端,读端就要阻塞等待,知道管道pipe内部有数据。 ②管道内部…

linux的centos系统安装docker

文章目录 一. 安装Docker1. 安装yum-utils包2. 配置Docker yum源3. 安装 Docker CE4. 启动并设置 Docker 开机自启5. 验证Docker安装 二. 配置镜像加速器 一. 安装Docker 1. 安装yum-utils包 sudo yum install -y yum-utils2. 配置Docker yum源 官网源,在没有外网…

【C#_For循环_二重循环_数组和排序等_二分搜索_第二篇】

C#(编程入门) 续上一篇:练习来自腾讯课堂免费课程3.1.For循环基本概念输出1-10For循环流程图如下计算1-10之和计算1-10的乘积3.2.for语句3.3.二重循环3.4.Break VS Continue3.5.案例:ATM机3.5.1.ATM机业务流程3.6.案例:21点3.7.抽奖程序4.1.输入数组元素4.2.数组与内存的关…

Redis数据库(二):Redis数据库的五种基本数据类型

Redis 是一个开源的内存数据库,支持多种数据结构,常用于缓存、会话管理、实时分析等场景。Redis 提供了五种基本的数据类型:字符串、 列表、 集合、 散列/哈希、 有序集合。这篇博客,我们来详细介绍这五种数据类型,并且…

【Flink metric(2)】chunjun的metric系统是怎么设计的:如何注册metric、如何同步metric

文章目录 一. 管理(注册、同步)metric1. BaseRichInputFormat对metric的管理2. 通过BaseMetric管理metric 二. AccumulatorCollector:metric同步1. 启动线程池,周期性更新metric信息2. 获取全局指标、本地指标3. 资源回收 三. 小结…

【产品经理】订单处理8-智能分仓

在电商ERP系统中,通常智能分仓策略是系统中最重要的功能之一,大公司若仓库较多时,智能分仓策略中也会加入大数据团队,通过算法来计算最优仓库。 本次讲解的智能分仓适用于中小公司,适合拥有2个以上10个以下仓库的公司…

AGI 之 【Hugging Face】 的[ 简单介绍 ] [ 基础环境搭建 ] 的简单整理

AGI 之 【Hugging Face】 的[ 简单介绍 ] [ 基础环境搭建 ] 的简单整理 目录 AGI 之 【Hugging Face】 的[ 简单介绍 ] [ 基础环境搭建 ] 的简单整理 一、简单介绍 二、Hugging Face 三、环境搭建 python 环境的搭建 Pycharm 环境搭建 1、下载 Pycharm 安装包 2、安装 …

装机必备一WinRAR安装使用以及常见问题

WinRAR是一款功能强大的压缩包管理器,支持多种压缩格式,如RAR、ZIP等。作为一款经典且广泛使用的压缩软件,WinRAR不仅在文件压缩率和速度方面表现出色,还提供了备份数据、缩减电子邮件附件大小以及解压缩网络下载文件等功能。 为…

数据结构与算法:回溯算法约束条件:剪枝详解、示例(C#、C++)与回溯典型例题详解

文章目录 一、约束条件二、剪枝三、典型例题四、常用术语五、示例N 皇后问题 C# 示例N 皇后问题 C 示例 六、常见用用回溯算法解决的问题汇总组合问题:图论问题:棋盘游戏问题:优化问题:调度问题:其他问题: …

How to persist LangChain conversation memory (save and load)

题意:如何持久化 LangChain 对话记忆(保存和加载) 问题背景: Im creating a conversation like so: 我正在创建一个对话,如下所示: llm ChatOpenAI(temperature0, openai_api_keyOPENAI_API_KEY,…

【CTF】BUU BURP COURSE 11

打开靶机之后,显示只能在本地打开(一度以为靶机出问题)。 解题步骤: 1.分析请求包信息 2.构建本地请求IP X-Real-IP:记录真实客户端IP地址信息; X-Forward-for:记录了请求IP到目标ip所经历的…

新型基坑气膜:施工开挖的得力干将—轻空间

随着城市建设的加速推进,施工过程中的环境问题日益受到关注。新型基坑气膜以其卓越的防尘、降噪、节能和防火功能,成为施工开挖领域中的得力干将,极大地提升了绿色施工的水平。 基坑气膜的作用 基坑气膜在施工现场形成了一个完全封闭的作业空…

Java EE之Servlet

Servlet 是 Java EE(Java Platform, Enterprise Edition)规范中的一个技术,是服务器端 Java 程序,用于处理客户端请求并生成动态响应。Servlet 通常用于构建 Web 应用程序,并与 HTTP 协议紧密集成。以下是对 Servlet 的…

JavaWeb系列七: 动态WEB开发核心(Servlet) 下

韩老师学生 ServletConfigServletContext网站计数器 HttpServletRequest细节1细节2细节3 Dispathcer请求转发应用实例请求转发细节和注意事项习题 HttpServletResponse请求重定向请求重定向注意事项动态获取到application context练习题 ServletConfig ●ServletConfig基本介绍…

docker --restart 容器重启策略

官网连接:https://docs.docker.com/config/containers/start-containers-automatically/ 当容器退出后,或者docker程序重启了,容器是否要重启,可以用重启策略控制。 用docker run命令的时候,用--restart 设置容器重启…

1.文件上传漏洞渗透及防御(OWASP实战训练)

1.文件上传漏洞渗透及防御(OWASP实战训练) OWASPupload上传漏洞实验一:低安全模式下,上传任意类型的文件,文件大小不受限制实验二,安全级别调整将其变为中等安全级别实验三:将其设为高安全级别 …