Wireshark显示过滤规则实验

Wireshark过滤规则实验 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。 Wireshark的优势： - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。     Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。 显示过滤器的使用 1. 过滤IP，如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP ip.addr == 192.168.1.107// 都能显示来源IP和目标IP 实验：1、设置显示目的IP为本机IP的过滤语法并截图，替换样图 2、设置显示源IP为本机IP并且目的IP为邻居IP的过滤语法并截图： 2、端口过滤 tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 21 // 只显tcp协议的目标端口21 tcp.srcport == 21 // 只显tcp协议的来源端口21 udp.port eq 15000 过滤端口范围 tcp.port >= 1 and tcp.port <= 80 实验：1、设置显示源端口号为80的过滤语法并截图 2、设置显示目的端口号范围为1-1023的过滤语法并截图 3. 过滤MAC 以太网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的 实验：1、确定本机MAC地址为 2、设置显示源MAC为本机MAC并且目的MAC为邻居MAC的过滤语法并截图 提示，需要在显示栏中将MAC地址显示出来，与显示源端口和目的端口一样的操作。 4. 包长度过滤 less than 小于 < lt 小于等于 le 等于 eq 大于等于 ge 不等 ne 例子: udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身 ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后 frame.len == 119 整个数据包长度,从eth开始到最后 实验：1、设置tcp包长度大于等于ge 20并且小于等于le 40的过滤语法并截图（将包长度栏显示出来，和源端口与目的端口显示一样） 2、设置ip长度大于20并且小于等于le 40的过滤语法并截图（将包长度栏显示出来） 3、设置帧大于等于60并且小于等于le 100的过滤语法并截图（将包长度栏显示出来） 4、包长度栏显示的长度表示的是（ ）长度 A链路帧 B IP包 C TCP/UDP分组 D 应用层数据 5、设置ip包的生存时间大于100并且小于200并且为DNS协议类型的过滤语法并截图 6、设置显示icmp的ping请求包并且源IP为邻居IP的过滤语法并截图 5. http模式过滤 例子: http.request.method == "GET" http.request.method == "POST" http.request.uri == "/img/logo-edu.gif" http contains "GET" http contains "HTTP/1." // GET包 http.request.method == "GET" && http contains "Host: " http.request.method == "GET" && http contains "User-Agent: " // POST包 http.request.method == "POST" && http contains "Host: " http.request.method == "POST" && http contains "User-Agent: " // 响应包 http contains "HTTP/1.1 200 OK" && http contains "Content-Type: " http contains "HTTP/1.0 200 OK" && http contains "Content-Type: " 一定包含如下 Content-Type: 实验：1、设置显示HTTP协议的GET包的过滤语法并截图 2、设置显示HTTP协议的POST包的过滤语法并截图 6. TCP参数过滤 tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 0x02   显示包含TCP SYN标志的封包。 tcp.window_size == 0 && tcp.flags.reset != 1 实验：设置tcp标识位的过滤语法并截取tcp三次握手的图 截图并说明过滤语法是什么