網絡分析系列之十一_Wireshark採集過濾器

2020-12-25 網深科技

Wireshark的世界裡有2種過濾器,分別是採集過濾器和顯示過濾器,採用恰當的過濾器,不但能提高數據分析的靈活性,而且能讓分析者更快看到自己想要的分析對象。

使用Wireshark採集數據包時,可能有諸多原因會使用到採集過濾器,比如減少採集的數據包大小來節省磁碟空間,加速問題和目標分析,提高軟體自身工作速率等等。本節介紹如何使用採集過濾器,以及常見的採集過濾器的特徵和表達方式,另外羅列出常用的採集過濾器表達式供參考。

為什麼要使用抓包過濾器

當網絡中數據流的規模相當龐大時,只抓取滿足某些條件的流量就顯得十分重要了。如果用戶需要在生產環境中進行流量分析,那他一定遲早會需要使用到抓包過器。用戶要在開始抓包之前使用抓包過濾器。總之,Wireshark抓取的每個數據包都會提交給抓包引擎,再由抓包引擎將抓取的數據包轉換成人類可以讀懂的格式。但是,如果用戶應用了抓包過濾器,那麼Wireshark就會丟棄與用戶需求不符的那些數據包。Wireshark不會將這些丟棄的數據包交給抓包引擎進行轉換。相比之下,顯示過器就要具體和強大得多了。在使用抓包過濾器時,用戶一定要謹慎,因為如果有些數據包因為與用戶定義的規則不符可能被丟棄,這些丟棄的數據包是無法恢復的。

創建過源器時要使用伯克利數據包過器(BPF)語法,還有很多協議分析軟體使用的也是這種語法,因為這種語法是行業標準。這種語法很容易學習和使用,使用基本的格式來構建用戶的過濾標準就行了。

如何使用抓包過濾器

最簡單直接的使用方式如下圖,在Wireshark主體界面,直接輸入抓捕過濾器表達即可。

直接輸入抓包過濾器

也可以選擇已有的過濾器名稱,直接使用。如下圖。

選擇已有過濾器

如何管理過濾器

管理過濾器的目的是提前定義常用的過濾器,在使用的使用直接使用,以避免再去查找語法或書寫規範等操作。

選擇捕獲——捕獲過濾器,即可打開捕獲過濾器管理窗口。

打開抓包過濾器窗口

在捕獲過濾器窗口,你可以定義自己想要的過濾器並保存,下次使用的使用,直接從下拉菜單選擇就行。

在定義捕獲過濾器時,有個小技巧,就是多用複製功能,這種先通過複製形似的過濾器,然後再調整修改的方式能夠加快過濾器的定義速度,提高定義過濾器的準確性。

新建抓包過濾器

抓包過濾器語法規則

捕獲過濾器應用於Winpcap,並使用 Berkeley Packet Filter(BPF)語法。這個語法被廣泛用於多種數據包抓包軟體,主要因為大部分數據包抓包軟體都依賴於使用BPF的libpcap/Winpcap庫。

掌握BPF語法對你在數據包層級更深入地探索網絡來說是非常關鍵的。使用BPF語法創建的過濾器被稱為表達式,並且每個表達式包含一個或多個原語。每個原語包含一個或多個限定詞,然後跟著一個ID名字或者數字,如下圖是對限定詞的介紹。

抓包過濾器語法規則

下圖是一個完整的抓包過濾器示例。

抓包過濾器示例

在這個給定表達式的組成部分中,一個src限定詞和192.168.0.10組成了一個原語。這個原語本身就是表達式,可以用它只捕獲那些源IP位址是192.168.0.10的流量。

你可以使用以下3種邏輯運算符,對原語進行組合,從而創建更高級的表達式。

連接運算符與(&&)

選擇運算符或(II)

否定運算符非(!)

舉例來說,下面的這個表達式只對源地址是192.168.0.10和源埠或目標埠是80的流量進行捕獲。

src 1921680.108 && port 80

常見抓包過濾器列表

以下是常見的抓包過濾器,供參考。

相關焦點

  • Wireshark中文版
    Wireshark中文版是免費的網絡協議檢測程序,支持Unix、Windows。能夠經由程序抓取運行的網站的相關資訊,是專業而且免費的網絡嗅探抓包分析工具,幾乎每個網絡工程人員對這個軟體都喜愛有加。
  • 史上最簡單的 Wireshark 和 TCP 入門指南
    有了wireshark就能截獲這些網絡數據包,可以清晰的看到數據包中的每一個欄位。更能加深我們對網絡協議的理解。對我而言, wireshark 是學習網絡協議最好的工具。的官方下載網站: http://www.wireshark.org/wireshark是非常流行的網絡封包分析軟體,功能十分強大。
  • wireshark抓包使用教程
    wireshark抓包使用教程  Wireshark是非常流行的網絡封包分析軟體,可以截取各種網絡數據包,並顯示數據包詳細信息。
  • Wireshark 基本介紹和學習 TCP 三次握手
    有了wireshark就能截獲這些網絡數據包,可以清晰的看到數據包中的每一個欄位。更能加深我們對網絡協議的理解。對我而言, wireshark 是學習網絡協議最好的工具。是非常流行的網絡封包分析軟體,功能十分強大。
  • wireshark抓包新手使用教程
    Wireshark是非常流行的網絡封包分析軟體,可以截取各種網絡數據包,並顯示數據包詳細信息。常用於開發測試過程各種問題定位。
  • 手機數據抓包以及wireshark技巧
    Tcpdump程序實際上可以看作是wireshark的命令行版本,將該程序移植到Android平臺直接抓包,這是一種最直接的抓包方式,然後將抓獲的數據包文件,從手機傳到windows系統上用wireshark打開進行分析,這種方式貌似不能用於蘋果手機。
  • wireshark使用及實列分析
    ,對wireshark數據包分析不太熟悉,特此學習記錄一下。本想再對主流掃描器和webshell管理工具抓包分析,但礙於篇幅和自己時間問題,沒有再深入下去。這裡主要挑選了weblogic反序列化,ms17_010,struts s2-057數據包進行實列分析。希望文章能對給位師傅有所幫助,文章中可能有很多不足和錯誤之處,還望各位師傅包涵。
  • WireShark+Winhex:流量分析的好搭檔
    這篇文章你將學會的知識點有1、進階的wireshark的流量分析、解碼、追蹤流、導出文件2、利用
  • 從Wireshark抓包看HTTPS的加密功能 - 砍柴網
    HTTP協議抓包1.開啟wireshark並配置受監聽的網卡,點擊捕獲->選項,並選擇有正在使用的網卡,點擊「開始」2,我們需要在瀏覽器中輸入一個是HTTP請求的連接,並嘗試使用測試的用戶名和密碼,並輸入驗證碼信息。
  • Wireshark網絡協議分析:圖文解讀HTTP和HTTPS協議
    新版增加了一些細節,支持分析的協議更多,層次和欄位更詳細。Wireshark的版本是2.6.2,最新的是2.6.4就不再去下載了,差2個小版本,區別不大。HTTP是Hyper Text Transfer Protocol(超文本傳輸協議)的縮寫,是一個應用層協議。
  • Wireshark的抓包原理
    抓包原理主要由兩部分,網絡原理和wireshark底層原理。根據不同的抓包方式,網絡原理也有不同。主要有三種:最簡單直接的一種方式,直接抓取本機網卡進出流量,也就是本機與網際網路之間的交互的數據包。MAC泛洪也叫MAC泛洪攻擊,就是攻擊機不停發出不同源MAC的ICMP包,耗盡交換機的MAC表,這時交換機與正常的主機通信時,就會發送廣播報文,區域網內的機器都會收到報文,對報文進行分析,就可得到通信者的信息。
  • Linux命令行抓包及包解析工具tshark(wireshark)使用實例解析
    Linux命令行抓包及包解析工具tshark(wireshark)使用實例解析在Linux下,當我們需要抓取網絡數據包分析時,通常是使用tcpdump抓取網絡raw數據包存到一個文件,然後下載到本地使用wireshark界面網絡分析工具進行網絡包分析。
  • BT5 + wireshark玩wifi捕獲和中間人攻擊
    (對原文PDF文檔感興趣的留郵箱,我發給你)BT5 + wireshark玩wifi數據包捕獲和session注入(中間人攻擊)介紹:主要思路是通過偽造相同名稱的wifi接入點,配合發送ARP數據包,攻擊連入偽造wifi的用戶。
  • 25、大話HTTP協議-用Wireshark研究一個完整的TCP連接
    最重要的是過濾器,可以通過輸入篩選條件,篩選出指定的數據包,因為茫茫數據包太多了,有了這個篩選讓我們拿到最關注的一部分報文,可以大大降低網絡包分析的難度。過濾器很有用,例如我們要追蹤 TCP 連接,就可以設置過濾器只顯示 TCP 的數據包(上圖中的 TCP only: tcp),而不顯示例如 UDP 的數據包或其他會干擾我們的數據包
  • 威而鯊(WireShark)之抓包魚翅手
    1  了解WireShark1.1  什麼是WiresharkWireshark 是網絡報文分析工具。網絡報文分析工具的主要作用是嘗試捕獲網絡報文, 並嘗試顯示報文儘可能詳細的內容。過去的此類工具要麼太貴,要麼是非公開的。 直到Wireshark(Ethereal)出現以後,這種情況才得以改變。Wireshark可以算得上是今天能使用的最好的開源網絡分析軟體。
  • 【乾貨】Andorid-APP 安全(四)之流量分析與內外存儲
    性能數據給出的網絡流量性能數據可以區分接收流量和發送流量:接收流量:應用運行期間,網卡的下行流量,單位是字節發送流量:應用運行期間,網卡的上行流量,單位是字節通常應用程式會在網絡數據中洩漏敏感信息。此外,你經常會遇到通過不安全的網絡協議執行身份驗證和會話管理的應用程式。網絡流量分析我們主要分兩種:被動分析和主動分析。
  • 【十一系列一】惜時之星評選——初中部
    滁州市第十一中學及附屬小學將持續組織開展「十一系列」主題評選、展示、學習活動。各學部根據教師推薦、同學推選以及學生的日常行為進行綜合評選,選出的典型代表將參與網絡投票,最終由投票結果結合日常綜合評分選出「十一系列之星」。後續學校將給各項之星的獲得者們頒發獎牌,並在公眾號進行個人特輯的展示。「十一系列」主題第一期「惜時之星」網絡投票正式開啟!
  • 【十一系列二】孝敬之星評選——小學部
    為讓學生學會理解父母,孝敬父母,感謝父母,以實際的行動報答父母的養育之恩,學校特開展「十一系列」活動之「孝敬之星」評選活動。「十一系列之星「都是各學部根據教師推薦、同學推選以及學生的日常行為進行綜合評選,選出的典型代表將參與網絡投票,最終由投票結果結合日常綜合評分選出「十一系列之星」。後續學校將給各項之星的獲得者們頒發獎牌,並在公眾號進行個人特輯的展示。
  • 組圖:中國人壽和諧之旅麗江採集「文化」之土
    搜狐體育訊 9月9日,「赤誠熱土 祝福中國——十一運•中國人壽和諧之旅」來到山河壯麗、歷史悠久、文化燦爛的雲南省麗江市,在玉龍雪山風景區藍月谷劇場旁舉行了隆重而莊嚴的聖土採集儀式。  十一運組委會財務部部長助理孫玉波表示,此次「十一運•中國人壽和諧之旅」活動之所以選擇麗江作為第九站聖土採集地,是因為麗江是國家歷史文化名城,麗江的發展見證了中華各民族團結奮鬥的歷程和豐碩成果。在新中國成立60周年前夕,此次「和諧之旅」活動能來到麗江舉行神聖的聖土採集儀式,不僅具有非同一般的紀念意義,而且也是十一運組委會和中國人壽這兩個聯合主辦方為新中國成立60周年獻上的一大厚禮。