Wireshark過濾規則
以下截圖是Wireshark的過濾操作截圖,其他的過略規則操作相同,這裡不再截圖:
UDP資料包過濾
UDP協議分析常用過濾條件
ip.addr==192.168.0.1 //過濾ip地址
data.len==8 //過濾data部分長度為8的資料包
data.data == 00:08:30:03:00:00:00:00 //過濾指定內容的資料包
udp.srcport == 10092 //過濾經過本機10092埠的udp資料包
udp.dstport == 80 //過濾目標機器10092埠的udp資料包
udp.port==10092 //過濾本機或目標機器10092埠的資料包
udp.length == 20 //過濾指定長度的UDP資料包
UDP校驗和過濾條件
udp.checksum == 0x250f
udp.checksum_good == 0 //Boolean型別
udp.checksum_bad == 0
程式相關的過濾條件
以下過濾條件不支援Windows,因為需要特殊的驅動。
udp.proc.dstcmd //過濾目標程式名
udp.proc.dstpid //過濾目標程式PID
udp.proc.dstuid //過濾目標程式的使用者ID
udp.proc.dstuname //過濾目標程式的使用者名稱
udp.proc.srccmd //過濾源程式名
udp.proc.srcpid //過濾源程式PID
udp.proc.srcuid //過濾源程式的使用者ID
udp.proc.srcuname //過濾源程式的使用者名稱
1.過濾IP,如來源IP或者目標IP等於某個IP
例子:ip.src eq 192.168.13.107 or ip.dst eq 192.168.1.107
或者ip.addr eq 192.168.1.107 // 都能顯示來源IP和目標IP
2.過濾埠
例子:
tcp.port eq 80 // 不管埠是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的來源埠80
udp.port eq 15000
過濾埠範圍
tcp.port >= 1 and tcp.port <= 80
3.過濾協議
例子:
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等
排除arp包,如!arp 或者 not arp
參考:
相關文章
- wireshark 過濾規則
- wireshark過濾返回包特徵特徵
- Wireshark的捕獲過濾器過濾器
- Wireshark-過濾器-資料包解析過濾器
- 03--元件註冊-自定義TypeFilter指定過濾規則元件Filter
- Logback中如何自定義靈活的日誌過濾規則
- 正則表達batchInert,過濾BAT
- 【故障公告】誤新增的過濾規則引發所有博文訪問500
- 【Spring註解驅動開發】自定義TypeFilter指定@ComponentScan註解的過濾規則SpringFilter
- wireshark 實用過濾表示式(針對ip、協議、埠、長度和內容)協議
- 過濾
- 透過Rule類決定爬取規則
- 過濾器過濾器
- filter過濾Filter
- 過濾FilteringFilter
- 規則
- Django(67)drf搜尋過濾和排序過濾Django排序
- 4、過濾器的使用及自定義過濾器過濾器
- 正則匹配規則2
- Vue過濾器Vue過濾器
- winshark 過濾包
- vue 列表過濾Vue
- 檢視過濾
- DataV過濾器過濾器
- Filter過濾器Filter過濾器
- hbase過濾器過濾器
- vue 過濾器Vue過濾器
- 過濾函式函式
- NetCore過濾器NetCore過濾器
- 代理過濾器過濾器
- CAN過濾器過濾器
- url規則
- makefile規則
- ESlint規則EsLint
- MySQL 主從複製過濾新增庫表過濾方案MySql
- Xor過濾器:比布隆Bloom過濾器更快,更小過濾器OOM
- canvas非零繞組規則與奇偶規則Canvas
- 點雲濾波器與過濾器過濾器