wireshark-1.2.2三层过滤语法

下面以ipv4为例介绍过滤语法规则:

1. 过滤ip地址、源地址、目的地址:

ip.addr == xx.xx.xx.xx

ip.src == xx.xx.xx.xx

ip.dst == xx.xx.xx.xx

一起学习wireshark-1.2.2三层过滤语法

ip地址过滤

2. 过滤网络网段信息:

ip.addr == xx.xx.xx.0/24

一起学习wireshark-1.2.2三层过滤语法

ip network过滤

3. VLAN,

Vlan

可以抓取到,打过vlan标签的数据包,如下图802.1q的数据包,

一起学习wireshark-1.2.2三层过滤语法

vlan-id过滤

vlan.id == xx,可以过滤特定的vlan信息,

一起学习wireshark-1.2.2三层过滤语法

vlan-id查看

4. 基于ip报头的字段过滤相关内容,以IPv4为例,首先看一下IPv4报头

一起学习wireshark-1.2.2三层过滤语法

ipv4报头

4.1 ip版本信息,

ip.version == 6

如下图:

一起学习wireshark-1.2.2三层过滤语法

ip version

4.2 ip.ttl, 通常情况下不同的系统会有不同的默认TTL值,例如:Linux=64,XP=128,Unix=255,win95=32数据包在网络传输过程中,每过一个路由节点会TTL-1,为了防止环路当TTL到0时,不会继续传递。因此通过对ttl过滤,可以辅助判断对端的系统类型(不是完全准确)

ip.ttl < 64 && ip.ttl > 32,快速过滤linux目标系统

一起学习wireshark-1.2.2三层过滤语法

ip.ttl

4.3 ip.len,ip包长度。当一个网络内存在过多的小包,通常存在各种网络问题,我们可以通过ip.len快速过滤出某些ip长度的数据包,

ip.len < 50

一起学习wireshark-1.2.2三层过滤语法

ip.len

4.4 ip.pro,ip层的上层协议,例如icmp=1,tcp=6,udp=17,

一起学习wireshark-1.2.2三层过滤语法

ip protocol

ip报头还设计DiffServer,后面我们会专门来分析。

扩展一下:通过协议[偏移位:位数]来定位协议的具体数值,例如,定位ip.pro

一起学习wireshark-1.2.2三层过滤语法

ip offset

ip[9] == 1

一起学习wireshark-1.2.2三层过滤语法

查看过滤结果

通过类似的方式,可以过滤ttl、addr等等,小伙伴可以自己尝试。

文章版权声明

 1 原创文章作者:汇维网,如若转载,请注明出处: http://www.52hwl.com/1725.html

 2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈

 3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)

 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别

发表评论

登录后才能评论