RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:8:30-17:00
你可能遇到了下面的问题
关闭右侧工具栏

新闻中心

这里有您想知道的互联网营销解决方案
wireshark的filter的使用

wireshark 有两种过滤器。

创新互联公司专注于网站建设,为客户提供成都网站设计、网站制作、网页设计开发服务,多年建网站服务经验,各类网站都可以开发,成都品牌网站建设,公司官网,公司展示网站,网站设计,建网站费用,建网站多少钱,价格优惠,收费合理。

  • 捕获过滤器

  • 显示过滤器

捕获过滤器----Capture---->Options---->Capture Filter。

wireshark的filter的使用

BPF限定词(Berkeley Packet Filter)

     例子:     host、net、port、src、dst、ether、ip、tcp、udp、http、ftp。

操作符:         &&         ||         !。

比如:dst host 200.0.0.1 && tcp port 80

port http但不能是http。

icmp[0]==8表示数据包偏移量为0的位置值为8。

icmp[0:2]==0x0301表示数据包偏移量为0再延续两个字节,值为0x0301。

icmp数据包格式:

0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Type      |     Code      |          Checksum             |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                             unused                            |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |      Internet Header + 64 bits of Original Data Datagram      |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
详见:http://www.ietf.org/rfc/rfc792.txt
TCP Header Format

                                    
    0                   1                   2                   3   
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |          Source Port          |       Destination Port        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                        Sequence Number                        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Acknowledgment Number                      |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  Data |           |U|A|P|R|S|F|                               |
   | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
   |       |           |G|K|H|T|N|N|                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |           Checksum            |         Urgent Pointer        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Options                    |    Padding    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                             data                              |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

                            TCP Header Format
详见:http://www.ietf.org/rfc/rfc793.txt
只捕获tcp标志为是RST的数据包了?
tcp[13]&4==4,数据包位偏移13字节,那“&4”是什么意思了?因为RST在这第13字节代表数字4[*(128) *(64) urg(32) ack(16) psh(8) rst(4) syn(2) fin(0)]。
那syn+ack了?tcp[13]==18。
显示过滤器
wireshark的filter的使用
点击expression后可指定详细的表达式。下面是些常用的:
ip.addr==192.168.1.1
frame.len<=128帧长度小于等于128字节。
ip.addr==1.1.1.1 || ip.addr==2.2.2.2
tcp.port==80或者http。填写好后点击apply就可以生效了。

具体的自己可以慢慢研究。

网站题目:wireshark的filter的使用
新闻来源:http://lswzjz.com/article/ipjsoe.html