wireshark抓包如果嗎沒有條件限制總是會無差別抓包,因此能夠篩選到我們想要的包的常用篩選命令需要我們掌握。該篇主要敘述最常用的命令和命令組合的方式。
ip篩選
我們輸入篩選命令都在如圖,篩選框輸入的,ip篩選常用ip目的地址篩選和ip源地址篩選
上圖爲源地址篩選命令和效果圖
目的地址篩選命令和效果圖
另外有人可能會疑問那ip==xxx.xxx.xxx.xxx,用於篩選什麼呢?這個是用於篩選源地址和目的地址都是該ip的包
協議篩選
我們想要篩選比如tcp、udp、http等相關協議的包
很方便,就是打一個協議名字就可以篩選了,上圖爲tcp和udp的相關協議包
端口和方法
端口
端口其實一般我們用的比較少,因爲協議一般都會有默認的端口號,但有些特殊情況要用到
很顯然上圖就是tcp協議源端口和目的端口爲80的相關協議。這是後又有人想問如果是tcp.port==80是不是就是源端口和目的端口都得是80的tcp協議包?不是的,這個是源端口或目的端口是80的tcp數據包,哈哈,別和ip混淆了,如下圖。
方法
這個方法就是指協議裏面的一些方法,我測試了http的GET、PUT等這些方法,下圖:
綜合篩選
那麼給大家出個題,(http.request.method=="PUT" or http.request.method=="POST") and (ip.dst==10.15.112.61 or ip.src==10.15.112.61)什麼意思?
運行結果如下:
這樣我們不難看出多個命令的組合就是or,and這些鏈接詞,方便我們更加精準篩選到我們所需要的包
然後我們可以通過下圖方式進行分析包的具體內容
提示:如果你自己操作到這一步的話,進入查看該包的內容,就會發現一個比較奇特的現象。
怎麼跳出內容框後內容篩選框的關鍵字變了,tcp.stream eq 6.這個是wireshark自動做的變化,每個包都屬於不同的流,比如一個http鏈接客戶端和服務器會有很多溝通,wireshark會將每個流順序做一個編號,比如剛剛我打開的這個包就是wireshark標記爲6的這個http協議流裏面的一個包,wireshark會將捕獲的該流的所有相關包都列出來,方便我們更好理解整個流的通訊內容。
而eq表示等於,gt大於,ge大於等於,ne不等,lt小於,le小於等於。所以通過現象我們就又學到一系列篩選流的命令。
總結
最後這是最基本,也是最常用的wireshark篩選命令,如果上述內容有不解和錯誤的歡迎大家留言指正。