wireshark过滤规则学习总结

wireshark过滤条件的语法

一、IP过滤：包括来源IP或者目标IP等于某个IP

比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：

比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围

tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

等等

排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：

比如：

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：

例子:

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

// GET包

http.request.method == “GET” && http contains “Host: ”

http.request.method == “GET” && http contains “User-Agent: ”

// POST包

http.request.method == “POST” && http contains “Host: ”

http.request.method == “POST” && http contains “User-Agent: ”

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”

一定包含如下

Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

========

wireshark 实用过滤表达式（针对ip、协议、端口、长度和内容） 实例介绍

首先说几个最常用的关键字，“eq” 和 “==”等同，可以使用 “and” 表示并且，“or”表示或者。

“!" 和 "not” 都表示取反。

　　一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：

　　（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。

　　         表达式为：ip.src == 192.168.0.1

　　（2）对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。

　　         表达式为：ip.dst == 192.168.0.1

　　（3）对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip地址是

192.168.0.1的包。

　　         表达式为：ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 

192.168.0.1

　　（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用 "!" 即可。

　　         表达式为：!(表达式)

 

　　二、针对协议的过滤

　　（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。

                表达式为：http

　　（2）需要捕获多种协议的数据包，也只需对协议进行逻辑组合即可。

　　         表达式为：http or telnet （多种协议加上逻辑符号的组合即可）

　　（3）排除某种协议的数据包

　　         表达式为：not arp      !tcp

 

　　三、针对端口的过滤（视协议而定）

　　（1）捕获某一端口的数据包

　　         表达式为：tcp.port == 80

　　（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式

　　         表达式为：udp.port >= 2048

 

　　四、针对长度和内容的过滤

　　（1）针对长度的过虑（这里的长度指定的是数据段的长度）

　　         表达式为：udp.length < 30   http.content_length <=20

　　（2）针对数据包内容的过滤

　　　　  表达式为：http.request.uri matches "vipscu"  （匹配http请求中含有vipscu字段的请求

信息）

　　

　　通过以上的最基本的功能的学习，如果随意发挥，可以灵活应用，就基本上算是入门了。以下是比

较复杂的实例（来自wireshark图解教程）：

 

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 

10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位

于网络10.0.0.0/8内的所有封包。

wireshark 包长度过滤规则

ip.src==192.168.9.64 and http and ip.dst==192.168.100.11 and frame.len>70

========