wireshark簡單過濾

原創 變異種子 2020-05-31 03:21
一、IP過濾:包括來源IP或者目標IP等於某個IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP

二、端口過濾:
比如:tcp.port eq 80 // 不管端口是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標端口80
tcp.srcport == 80 // 只顯tcp協議的來源端口80

過濾端口範圍
tcp.port >= 1 and tcp.port <= 80

三、協議過濾:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl

四、包長度過濾:
比如:
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個數據包長度,從eth開始到最後

五、http模式過濾:
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 響應包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、連接符 and / or

七、表達式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

記一些CISP-PTE題目解析

0x01 命令執行 直接payload: 127.0.0.1 &whoami,發現可以成功執行whoami命令 然後ls ../ ,發現有個key.php文件 嘗試用cat命令查看發現不行被攔截了。(其實題目過濾了常用的查看文件的命

原創 2024-05-11 23:51:24

一則 TCP 緩存超負荷導致的 MySQL 連接中斷的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龔唐傑,愛可生 DBA 團隊成員,主要負責 MySQL 技術支持,擅長 MySQL、PG、國產數據庫。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註

原創 2024-04-24 23:20:53

MQTT 5.0 報文解析 06:AUTH

歡迎閱讀 MQTT 5.0 報文系列 的最後一篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 DISCONNECT 報文。現在,我們將介紹 MQTT 中的最後一個控制報文:AUTH。 MQTT 5.0 引入了增強認證特性,它使 M

原創 2024-04-22 21:55:23

MQTT 5.0 報文解析 05:DISCONNECT

歡迎閱讀 MQTT 5.0 報文系列 的第五篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 PINGREQ 和 PINGRESP 報文。現在,我們將介紹下一個控制報文:DISCONNECT。 在 MQTT 中,客戶端和服務端可以在

原創 2024-04-16 21:56:02

MQTT 5.0 報文解析 04:PINGREQ 與 PINGRESP

歡迎閱讀 MQTT 5.0 報文系列 的第四篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 中的 SUBSCRIBE 報文和 UNSUBSCRIBE 報文。現在,我們將介紹用於維持連接的控制報文:PINGREQ 和 PINGRESP。

原創 2024-04-07 21:55:17

MQTT 5.0 報文解析 02:PUBLISH 與 PUBACK

歡迎閱讀 MQTT 5.0 報文系列 的第二篇文章。在上一篇中,我們已經介紹了 MQTT 5.0 的 CONNECT 和 CONNACK 報文。現在,我們將介紹在 MQTT 中用於傳遞應用消息的 PUBLISH 報文以及它的響應報文。 不管

原創 2024-03-18 22:23:18

MQTT 5.0 報文解析 01:CONNECT 與 CONNACK

在 MQTT 5.0 報文介紹 中,我們介紹了 MQTT 報文由固定報頭、可變報頭和有效載荷三個部分組成,以及可變字節整數、屬性這類 MQTT 報文中的通用概念。現在,我們將按照實際的用途來進一步介紹各個類型的報文的組成。首先,我們將專注於

原創 2024-03-04 22:06:21

手把手帶你配置一個DHCP服務器 | 京東雲技術團隊

1 前言 最近部門內部成立一個網絡興趣小組,初衷是通過網絡知識學習,在遇到網絡問題時能夠承擔起一個與網絡側同學有效溝通的“連接人”的角色,求學這麼多年其實也陸續學了不少的網絡相關課程,本科的計算機網絡、碩士的高等計網等,不過當時大多都停留

原創 2023-12-07 12:07:16

asdf抖音app爬蟲方案sfasdfasd

時間202308 1.appnium(ok) 2.fiddler(不行,由於高版本安卓sslpinning技術,以及抖音的自定義sslpinning技術) 解決:繞過sslpinning,抖音有向下兼容http2協議,想辦法繞過sslpin

原創 2023-08-08 00:02:30

自上而下的理解網絡(4)——TCP篇

自上而下的理解網絡(4)——TCP篇 本系列文章的主題是自上而下的理解網絡,這裏的之上而下,只要指的是基於HTTP的網絡服務。我們只要從上之下的將這一過程理解透徹,對於其他的應用來說,只是協議不同,原理是相似的。通過本系列前面幾篇博客的介紹

原創 2022-04-30 12:59:50

wireshark 監聽 tcp 協議

假設需要 使用 tcp 協議發送一個 16 進制 調度指令  AA 00 01 03 01 00 01 02 FC   使用網絡調試助手  打開 wireshark,過濾選項中設置 tcp 的端口,這樣來排除其他報文數據。 tcp.po

原創 2022-04-30 12:51:45

記錄下做攻防世界的misc題

0x00 記錄一下,代表自己做過 0x01 flag_universe 看簡介是來自2018年的百越杯。 將文件下載下來後,就一個flag_universe.pcapng文件,wireshark打開。 追蹤tcp流,發現是FTP傳輸文件,傳

osc_6ruay563 2021-12-25 21:45:29

記一次事件,DoH功能失效導致chrome dns解析錯誤

現象: chrome 訪問所有的網站時都出現ERR_NAME_NOT_RESOLVED錯誤,使用firefox瀏覽器可以正常訪問。 使用WireShark監聽網絡,發現dns地址都爲8.8.8.8,查詢內容都是google.com。dns地

原創 2021-12-25 21:41:55

20199101 2019-2020-2 《網絡攻防實踐》第五週作業

TCP/IP網絡協議攻擊的原理和實踐 0.總體結構 本次作業屬於哪個課程 網絡攻防實踐 這個作業要求在哪裏 TCP/IP網絡協議攻擊 我在這個課程的目標是 學習網絡攻防相關技術和原理 這個作業在哪個具體方面幫助

osc_x2c17gwy 2021-12-25 21:38:49

Http請求壓縮/tcpdump

啓動一個nginx進行轉發,然後請求,使用tcp dump來查看是否壓縮成功了 也可以啓動一個Java的8081端口來Tcp dump來看 #-i lo是監聽lo網卡 #port 是監聽端口 #host 是監控localhost發出

原創 2021-12-25 21:37:11