Wiresahrk抓包過濾技術

一、抓包過濾器

捕捉過濾器（CaptureFilters）：用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置
顯示過濾器（DisplayFilters）：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改

捕捉過濾器是數據經過的第一層過濾器，它用于控制捕捉數據的數量，以避免產生過大的日志文件
顯示過濾器是一種更為強大（復雜）的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄

語法：    Protocol    Direction    Host(s)    Value    Logical Operations    Other expression
例子：       tcp             dst           10.1.1.1    80            and              tcp dst 10.2.2.2 3128

協議:ether、 ip、arp、 rarp、tcp and udp等（沒有特別指明什么協議，默認抓取所有協議）
方向:src、dst、 src and dst（沒有特別指明源或目的地，默認為 “src or dst” 作為關鍵字）

類型:net、 port、host、portrange（沒有指定此值，默認使用”host”關鍵字）
邏輯運算符:not非！、 and與||、 or或&&

src portrange 2000-2500顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包

抓包過濾器操作步驟

二、流量不大的時候使用顯示過濾器

語法：    Protocol.String 1.String 2 Comparisonoperator    Value    LogicalOperations 
例子：    ip.src.addr             ==        10.1.1.1    and  

==等于
！=不等于
>=大于等于
<=小于等于
and兩個條件同時滿足
or其中一個條件被滿足
not沒有條件被滿足

IP地址:ip.addr、ip.src、ip.dst
端口過濾:tcp.port、tcp.srcport、tcp.flag.syn等

顯示過濾器操作步驟

如果不熟悉表達式

1、過濾端口
tcp.port == 80 #不管端口是來源的還是目標的都顯示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 #只顯tcp協議的目標端口80
tcp.srcport == 80 #只顯tcp協議的來源端口80
tcp.port >= 1 and tcp.port <= 80 #過濾端口范圍

2、過濾MAC
太以網頭過濾
eth.dst == E4:D5:3D:A2:64:95 #過濾目標MAC
eth.src eq E4:D5:3D:A2:64:95 #過濾來源MAC
eth.addr eq E4:D5:3D:A2:64:95 #過濾來源MAC和目標MAC都等于A0:00:00:04:C5:84的
!eth.addr==e4:d5:3d:a2:64:95 #忽略MAC

3、過濾IP
ip.src == 192.168.0.104 過濾ip為192.168.0.104

4、包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7   指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最后
frame.len == 119 整個數據包長度,從eth開始到最后
eth —> ip or arp —> tcp or udp —> data

5、http模式過濾
http.request.method == GET
http.request.method == POST
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

6、DHCP
以尋找偽造DHCP服務器為例，在顯示過濾器中加入過濾規則，
顯示所有非來自DHCP服務器并且bootp.type==0x02（Offer/Ack/NAK）的信息：
bootp.type==0x02 and not ip.src==192.168.1.1

7、查看DNS流量

dns.flags==0x0100

https://wiki.wireshark.org/CaptureFilters

Network monitor：通過一個內建程序來執行的網絡分析器（該程序在操作系統安裝盤的“administrator Tool”文件夾中，但它不是默認安裝的，因此需要從安裝盤中添加安裝）

QQ文件無法訪問
1、通過Network monitor獲取到軟件的交互數據IP和端口范圍
(此Network monitor類似wireshark抓包工具)
2、將數據包導入到wireshark里面進行分析
3、通過IP和端口等條件對數據包進行過濾
4、根據數據流，對數據流進行分析

本篇文字不能涵蓋wireshark所有功能只是為了基礎者提供使用方式