Wireshark过滤规则及使用方法.pdf

扎根科技 191文章 22万总阅读 查看TA的文章> 评论 分享 微信分享 新浪微博 QQ空间 复制链接 Scan me! 扫码打开 手机搜狐网 无需下载APP 精彩内容随时看 什么是移动安全 2023-10-31 09:57 发布于：北京市 移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展，移动安全变得越来越重要。 ### Wireshark过滤规则及使用方法详解 #### 一、Wireshark简介与过滤规则的重要性 Wireshark是一款广泛使用的网络封包分析软件，能够实时捕捉网络封包，并且能够详细展示每一层的协议内容。它支持多种网络协议，如TCP/IP、UDP、HTTP等，是网络安全分析、故障排查等领域的强大工具。对于Wireshark而言，过滤规则是其核心功能之一，能够帮助用户高效地筛选出感兴趣的网络流量。 #### 二、Wireshark基本语法与过滤规则详解 ##### 1. 过滤IP地址 Wireshark允许用户根据源IP或目标IP进行过滤。例如： - `ip.src eq 192.168.1.107` 表示筛选所有源IP为192.168.1.107的数据包。 - `ip.dst eq 192.168.1.107` 表示筛选所有目标IP为192.168.1.107的数据包。 - `ip.addr eq 192.168.1.107` 同时筛选源IP和目标IP等于192.168.1.107的数据包。 在实际使用过程中，可以通过组合使用这些命令来实现更复杂的过滤条件。例如，可以使用逻辑运算符“or”来同时筛选多个IP地址的数据包。 ##### 2. 过滤端口 端口过滤是Wireshark中常见的需求之一，特别是针对特定服务的端口。例如： - `tcp.port eq 80` 可以筛选所有端口号为80的数据包，无论端口是作为源端口还是目标端口。 - `tcp.dstport == 80` 只显示目标端口为80的数据包。 - `tcp.srcport == 80` 只显示源端口为80的数据包。 - `udp.port eq 15000` 用于筛选UDP协议下的端口号为15000的数据包。 此外，还可以使用范围过滤来指定一个端口区间，例如 `tcp.port >= 1 and tcp.port <= 80` 用于筛选端口号在1到80之间的所有TCP数据包。 ##### 3. 过滤协议 Wireshark允许用户根据不同的协议进行过滤，这对于分析特定类型的数据包非常有用。例如： - `tcp` 过滤所有TCP协议的数据包。 - `udp` 过滤所有UDP协议的数据包。 - `arp` 过滤所有ARP协议的数据包。 - `icmp` 过滤所有ICMP协议的数据包。 排除某一协议的数据包也是可能的，例如 `not arp` 用于排除所有ARP协议的数据包。 ##### 4. 过滤MAC地址 Wireshark还支持根据MAC地址进行过滤，这对于分析局域网内的通信非常有用。例如： - `eth.dst == A0:00:00:04:C5:84` 用于筛选目标MAC地址为A0:00:00:04:C5:84的数据包。 - `eth.src eq A0:00:00:04:C5:84` 用于筛选源MAC地址为A0:00:00:04:C5:84的数据包。 - `eth.addr eq A0:00:00:04:C5:84` 用于筛选源MAC地址和目标MAC地址均为A0:00:00:04:C5:84的数据包。 ##### 5. 包长度过滤 Wireshark也支持按照数据包长度进行过滤，这对于特定类型的流量分析很有帮助。例如： - `udp.length == 26` 用于筛选UDP数据包长度为26的数据包。 - `tcp.len >= 7` 用于筛选TCP数据包长度大于等于7的数据包。 - `ip.len == 94` 用于筛选IP数据包长度为94的数据包。 - `frame.len == 119` 用于筛选整个数据包长度为119的数据包。 ##### 6. HTTP模式过滤 HTTP协议是互联网上最为常见的应用层协议之一，Wireshark提供了丰富的HTTP过滤选项。例如： - `http.request.method == "GET"` 用于筛选所有HTTP GET请求。 - `http.request.method == "POST"` 用于筛选所有HTTP POST请求。 - `http.request.uri == "/img/logo-edu.gif"` 用于筛选特定URI的HTTP请求。 - `http contains "GET"` 用于筛选包含"GET"关键字的HTTP数据包。 - `http contains "HTTP/1."` 用于筛选包含HTTP版本号的数据包。 ##### 7. TCP参数过滤 TCP协议提供了多种标志位，Wireshark可以基于这些标志位进行过滤。例如： - `tcp.flags` 显示包含TCP标志的数据包。 - `tcp.flags.syn == 0x02` 用于筛选包含TCP SYN标志的数据包。 - `tcp.window_size == 0 && tcp.flags.reset != 1` 用于筛选TCP窗口大小为0且重置标志未设置的数据包。 ##### 8. 包内容过滤 除了上述过滤方式外，Wireshark还支持对数据包内容进行过滤，这对于深入分析数据包内部结构非常有用。例如： - `tcp[20]` 表示从第20个字节开始，取1个字节。 - `tcp[20:]` 表示从第20个字节开始，取剩余的所有字节。 - `tcp[20:8]` 表示从第20个字节开始，取接下来的8个字节。 ### 结语 Wireshark的强大之处在于其灵活多变的过滤规则，这使得用户能够快速准确地定位到感兴趣的网络流量。无论是基础的IP过滤，还是复杂的包内容过滤，Wireshark都能够提供相应的工具和支持。掌握这些过滤规则，将极大地提高网络分析的效率和准确性。