数据包内容解析 wireshark数据包分析实战pdf( 二 )

只（不）捕获APR流量
host 192.168.5.231 and arp
#只捕获主机192.168.5.231 的arp流量。
host 192.168.5.231 and !arp
#只捕获主机192.168.5.231 除arp外的所有流量。
arp
#捕获接口中的所有arp请求
!arp
#捕获接口中所有非arpq请求。
只捕获特定端口的流量
tcp portrange 8000-9000 an port 80
#捕获端口8000-9000之间和80端口的流量
port 5060
#捕获sip流量，因为sip的默认端口是5060 。举一反三：port 22#捕获ssh流量
捕获电子邮件的流量
host 192.168.5.231 and port 25
#捕获主机192.168.5.231 的POP3协议的流量。
port 25 and portrange 110-143
#因为电子邮件的协议：SMTP、POP3、IMAP4 ，所以捕获端口的流量。
捕获vlan 的流量
vlan
#捕获所有vlan 的流量
vlan and (host 192.168.5.0 and port 80)
#捕获vlan 中主机192.168.5.0 ，前提是有vlan ，在wifi中不一定可以捕获到相应的流量，局域网（公司，学校里面的网络应该有vlan)
更多的案例，可以参考
端口常识：
https://svn.nmap.org/nmap/nmap-services#
常见协议及其端口:
http://tool.chinaz.com/port/#
显示过滤器
捕获过滤器使用BPF语法，而显示过滤器使用wireshark专有格式。
并且显示显示过滤器区分大小写，大部分使用的是小写。
语法格式：Protocol String1 String2 Comparision operator Value Logical Operations Other expression
Protocol(协议)：该选项用来指定协议。该选项可以使用位于OSI模型第2-7层的协议。
String1,String2(可选项)：协议的子类。
Comparision operator: 指定运算比较符。
英文写法C语言写法含义
eq==等于
ne!=不等于
gt>大于
lt<小于
ge>=大于等于
le<=小于等于
Logical expression: 指定逻辑运算符。
英文写法C语言写法含义
and&&逻辑与
or||逻辑或
xor^^逻辑异或
not!逻辑非
协议过滤器
arp
#显示所有ARP流量
ip
#显示所有IPv4流量
ipv6
#显示所有IPv6流量
tcp
#显示所基于TCP的流量数据
应用过滤器
bootp
#显示所有DHCP流量
dns
#显示所有NDS流量，包括tcp传输和udp的dns请求和响应
tftp
#显示所有TFPT（简单文件传输协议）流量
http
#显示所有HTTP命令、响应和数据传输包。但是不现实tcp握手包、tcp确认报和tcp断开包的流量数据。
icmp
#显示所有ICMP流量（ping命令发出的数据包）。
字段存在过滤器
bootp.option.hostname
#显示所有DHCP流量，包含主机名（DHCP是基于BOOTP）。
http.host
#显示所有包含http主机名字段的数据包。通常是由一个客户端发给web服务器的请求。
ftp.request.command
#显示所有ftp命令数据，如USER、PASS、RETR命令。
特有的过滤器
tcp.analysis.flags
#显示所有与tcp表示有关的包，包括丢包、重发和零窗口标志。
tcp.analysis.zero_window
#显示被标志的包，表示发送方的缓存空间已满
显示过滤器语法检查
红色表示错误
绿色标识正确可执行
黄色表示语法正确，但是可能不会过滤出用户想要的过滤的数据包。
常用显示过滤器及其表达式
数据链路层：
筛选mac地址为04:f9:38:ad:13:26的数据包—-eth.src =https://www.520longzhigu.com/shenghuo/= 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包—-eth.src =https://www.520longzhigu.com/shenghuo/= 04:f9:38:ad:13:26

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：