Wireshark显示过滤规则实验Wireshark过滤规则实验
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势:
- 安装方便。
- 简单易用的界面。
- 提供丰富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Etherea...
Wireshark过滤规则实验
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势:
- 安装方便。
- 简单易用的界面。
- 提供丰富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
显示过滤器的使用
1. 过滤IP,如来源IP或者目标IP等于某个IP
例子:
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者
ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
ip.addr == 192.168.1.107// 都能显示来源IP和目标IP
实验:1、设置显示目的IP为本机IP的过滤语法并截图,替换样图
2、设置显示源IP为本机IP并且目的IP为邻居IP的过滤语法并截图:
2、端口过滤
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 21 // 只显tcp协议的目标端口21
tcp.srcport == 21 // 只显tcp协议的来源端口21
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
实验:1、设置显示源端口号为80的过滤语法并截图
2、设置显示目的端口号范围为1-1023的过滤语法并截图
3. 过滤MAC
以太网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
实验:1、确定本机MAC地址为
2、设置显示源MAC为本机MAC并且目的MAC为邻居MAC的过滤语法并截图
提示,需要在显示栏中将MAC地址显示出来,与显示源端口和目的端口一样的操作。
4. 包长度过滤
less than 小于 < lt
小于等于 le
等于 eq
大于等于 ge
不等 ne
例子:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
实验:1、设置tcp包长度大于等于ge 20并且小于等于le 40的过滤语法并截图(将包长度栏显示出来,和源端口与目的端口显示一样)
2、设置ip长度大于20并且小于等于le 40的过滤语法并截图(将包长度栏显示出来)
3、设置帧大于等于60并且小于等于le 100的过滤语法并截图(将包长度栏显示出来)
4、包长度栏显示的长度表示的是( )长度
A链路帧 B IP包 C TCP/UDP分组 D 应用层数据
5、设置ip包的生存时间大于100并且小于200并且为DNS协议类型的过滤语法并截图
6、设置显示icmp的ping请求包并且源IP为邻居IP的过滤语法并截图
5. http模式过滤
例子:
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
一定包含如下
Content-Type:
实验:1、设置显示HTTP协议的GET包的过滤语法并截图
2、设置显示HTTP协议的POST包的过滤语法并截图
6. TCP参数过滤
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。
tcp.window_size == 0 && tcp.flags.reset != 1
实验:设置tcp标识位的过滤语法并截取tcp三次握手的图
截图并说明过滤语法是什么
本文档为【Wireshark显示过滤规则实验】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。