《wireshark实例讲解.ppt》由会员分享,可在线阅读,更多相关《wireshark实例讲解.ppt(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 Wirshark FilterWirshark FilterJerryZhangJune18,2010WiresharkFilterCaptureFilterFilterCaptureFilter设置设置Capturefilter步骤步骤:-选择Capture-Options或者使用快捷键Ctrl+K-填写“CaptureFilter”栏或者点击“CaptureFilter”按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器-点击开始(Start)进行捕捉。CaptureFilter语法:语法:语法:语法:例子:例子:iax2dst61.154.152.134569and
2、srcProtocol(协议)(协议):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp.如果没有特别指明是什么协议,则默认使用所有支持的协议Direction(方向)(方向):可能的值:src,dst,src and dst,src or dst 如果没有特别指明来源或目的地,则默认使用“src or dst”作为关键字。例如,“host 192.168.2.111”与“src or dst host 192.168.2.111”是一样的。Host(s):可能的值:net,port,host,portrang
3、e.如果没有指定此值,则默认使用“host”关键字。例如,src 192.168.2.111与src host 192.168.2.111相同。LogicalOperations(逻辑运算)(逻辑运算):可能的值:not,and,or.否(“not”)具有最高优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。例,“not tcp port 3128 and tcp port 23”与“(not tcp port 3128)and tcp port 23”相同。not tcp port 3128 and tcp port 23与not(tcp port 3128 an
4、d tcp port 23)不同。ProtocolDirectionHost(s)OtherexpressionValueLogicalOperations实例:udpdstport4569显示目的UDP端口为4569的封包。ipsrc显示来源IP地址为的封包。显示目的或来源IP地址为的封包。srcportrange2000-5000显示来源为TCP或UDP,并且端口在20005000范围内的封包。noticmp显示除icmp以外的封包。srchost172.17.12.1andnotdst显示来源IP地址为,但目的地址不是的封包。(srchost10.4.1.12orsrcnet10.6.0
5、.0/16)andtcpdstportrange200-10000anddst显示来源IP为或者来源网络为,目的地TCP端口号在200至10000之间,并且目的位于网络内的所有封包。FilterProtocolValueOtherexpressionString1String2ComparisonOperatorLogicalOperations例子:例子:ftppassiveip=192.168.1.1oricmp.typeProtocol(协议)(协议):可以使用大量位于OSI模型第2至7层的协议。点击“Expression.”按钮后,您可以看到它们。比如:IP,TCP,UDP,DNS,S
6、SH语法:语法:同样可以在以下位置找到所支持的协议String1,String2(可选项)(可选项):以协议的子类。点击相关父类旁的“+”号,然后选择其子类。ComparisonOperators(比较运算符)(比较运算符):可以使用以下几种运算符:英文写法英文写法C语言写法语言写法含义含义eq=Equalne!=NotEqualgtGreaterThanlt=GreaterthanorEqualtole=10frame.cap_len=012frame.cap_len=0 xa八进制表达十六进制表达3、以太网地址和字节数组使用十六进制表示,十六进制的数字可以被“:”“.”“-”分隔。例如:4
7、、IPv4地址可以被表示成点分十进制或者使用主机名表示。例如:5、当使用IPv4子网划分的时候,CIDR(ClasslessInterDomainRouting)表示法也可以使用。例如:以下的过滤器可以找到所有129.111的数据包:斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名,例如C类网络中主机“sneezy”的IP地址。6、双引号封装字符串。例如:eth.dsteqff:ff:ff:ff:ff:ffaim.datafddi.src=aa-aa-aa-aa-aa-ip.srcip.addrip.addreqsneezy/24=GETsnmp|dns|icmp常用表达举例:常用表达举例:显示SNMP或DNS或ICMP封包。ip.addr=192.168.2.1显示来源或目的IP地址为的封包。ip.src!=10.1.2.3orip.dst显示来源不为或者目的不为的封包。ip.src!=10.1.2.3andip.dst显示来源不为并且目的不为的封包。udp.porteq4569显示来源或目的UDP端口号为4569的封包。tcp.dstport=25eq0 x02tcp.flags显示目的TCP端口号为25的封包。显示带有TCP标志的封包。显示带有TCPSYN标志的封包。THEEND