相關文章推薦:
5分鐘徹底掃除TCP/IP協議學習障礙-wirshark使用詳解
一、wireshark捕獲過濾器簡介
- wireshark與使用libcap/winpacp支持的其他抓包程序有相同的捕獲篩選器語法,如tcpdump、windump、 analyzer 等抓包工具
- 捕獲過濾器不是顯示過濾器,這個一定要區分清楚,兩個語法不同,捕獲過濾器侷限性很大,但是可以減少原始數據包的大小,顯示過濾器則是隱藏數據包列表的某些數據包
- 在主窗口中,可以在接口列表上方和接口對話框中找到捕獲過濾器。可以在數據包列表上方更改顯示過濾器,如圖所示
二、捕獲過濾器常用10條講解附實例
1.僅抓取和ip地址36.152.44.96(百度的地址)之間的通信
host 36.152.44.96
2.捕獲一段ip地址的數據包
net 192.168.0.0/24
或者
net 192.168.0.0 mask 255.255.255.0
3.捕獲指定目標地址或者源地址的數據包
# src 表示源
# dst 表示目標
dst host 36.152.44.96
#捕獲目標是36.152.44.96 的數據包
src net 192.168.0.0/24
#捕獲源是192.168.0.0/24段 的數據包
== 注意==:1和2 介紹的都可以在前面加上src和dst,指定源和目標。
4.僅捕獲53(DNS使用53端口)流量
port 53
# 捕獲dns數據包
5.捕獲端口範圍內的流量
(tcp[0:2] > 79 and tcp[0:2] < 81) or (tcp[2:2] > 22200 and tcp[2:2] < 122210)
6.抓取以太網的EAPOL的數據包
ether proto 0x888e
7.拒絕以太網幀進去“鏈路層返現協議多播”
not ether dst 01:80:c2:00:00:0e
8.不捕獲組播包也不捕獲廣播包
not broadcast and not multicast
9.捕獲IPV6所有節點流量
dst host ff02::1
10.捕獲HTTP GET請求,
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
#This looks for the bytes 'G', 'E', 'T', and ' ' (hex values 47, 45, 54, and 20) just
after the TCP header. "tcp[12:1] & 0xf0) >> 2" figures out the TCP header length.
11.抓包
三、著名的漏洞流量抓取
- Blaster worm:
dst port 135 and tcp port 135 and ip[2:2]==48
- Welchia worm:
icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA
查找長度爲92字節的icmp回顯請求,並具有以4個字節的A(十六進制)開頭的icmp有效負載。它是welchia蠕蟲試圖破壞系統之前的特徵。
許多蠕蟲嘗試通過與端口135、445或1433上的其他主機聯繫來進行傳播。此篩選器與特定的蠕蟲無關,而是查找來自那些特定端口上本地網絡的SYN數據包。請更改網絡過濾器以反映您自己的網絡。
dst port 135 or dst port 445 or dst port 1433 and tcp[tcpflags] & (tcp-syn) != 0 andtcp[tcpflags] & (tcp-ack) = 0 and src net 192.168.0.0/24
- Heartbleed Exploit:
tcp src port 443 and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4] = 0x18) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 1] = 0x03) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 2] < 0x04) and ((ip[2:2] - 4 * (ip[0] & 0x0F) - 4 * ((tcp[12] & 0xF0) >> 4) > 69))
四、捕獲過濾器面試中常問的問題
- 怎麼設置 只捕獲SIP和RTP過濾器
捕獲進出該端口的TCP和UDP流量(如果其中一個過濾器獲得“解析錯誤”,請嘗試使用5060而不是sip)。對於進出其他端口的SIP流量,使用該端口號而不是SIP。
在大多數情況下,RTP端口號是動態分配的。您可以使用以下內容,這些內容將捕獲限制爲UDP、源和目標端口、有效的RTP版本和小數據包。它將捕獲與過濾器匹配的任何非RTP流量(例如DNS),但是它將捕獲許多環境中的所有RTP數據包。
udp[1] & 1 != 1 && udp[3] & 1 != 1 && udp[8] & 0x80 == 0x80 && length < 250
- 捕獲沒有WLAN標記的流量
link[0] != 0x80
- 捕獲I192.168. x.x範圍內所有的原始流量
src net 192.168
- 捕獲PPPOE流量
pppoes
pppoes and (host 192.168.0.0 and port 80)
- 捕獲vlan流量
vlan
vlan and (host 192.168.0.0 and port 80)