Wireshark實例講解.ppt

Wirshark Filter,Jerry Zhang,June 18, 2010,Wireshark Filter Capture Filter Filter,Capture Filter,設(shè)置Capture filter 步驟: -選擇 Capture - Options 或者使用快捷鍵Ctrl+K -填寫“Capture Filter”欄或者點擊“Capture Filter”按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器 -點擊開始（Start）進行捕捉。,Capture Filter 語法： 語法： 例子： iax2 dst 3 4569 and src 11 Protocol（協(xié)議）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果沒有特別指明來源或目的地，則默認使用 “src or dst” 作為關(guān)鍵字。 例如，“host 11”與“src or dst host 11”是一樣的。 Host(s): 可能的值： net, port, host, portrange. 如果沒有指定此值，則默認使用“host”關(guān)鍵字。 例如，“src 11“與“src host 11“相同。 Logical Operations（邏輯運算）: 可能的值：not, and, or. 否(“not”)具有最高優(yōu)先級?；?“or”)和與(“and”)具有相同的優(yōu)先級，運算時從左至右進行。 例，“not tcp port 3128 and tcp port 23”與“(not tcp port 3128) and tcp port 23”相同。 “not tcp port 3128 and tcp port 23“與“not (tcp port 3128 and tcp port 23)“不同。,Protocol,Direction,Host(s),Other expression,Value,Logical Operations,實例：,udp dst port 4569,顯示目的UDP端口為4569的封包。,ip src host ,顯示來源IP地址為的封包。,host ,顯示目的或來源IP地址為的封包。,src portrange 2000-5000,顯示來源為TCP或UDP，并且端口在20005000范圍內(nèi)的封包。,not icmp,顯示除icmp以外的封包。,src host and not dst net /24,顯示來源IP地址為，但目的地址不是/24的封包。,(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8,顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。,Filter,Protocol,Value,Other expression,String1,String2,Comparison Operator,Logical Operations,例子： ftp passive ip = or icmp.type,Protocol（協(xié)議）: 可以使用大量位于OSI模型第2至7層的協(xié)議。點擊“Expression.”按鈕后，您可以看到它們。 比如：IP，TCP，UDP，DNS，SSH,語法：,同樣可以在以下位置找到所支持的協(xié)議,String1，String2（可選項）: 以協(xié)議的子類。 點擊相關(guān)父類旁的“+”號，然后選擇其子類。,Comparison Operators（比較運算符）: 可以使用以下幾種運算符：,Logical Expressions（邏輯運算符）:,注意： 1、進行比較運算時，“等于”要使用“= =”或“eq”，不能使用“=” ； 2、邏輯運算時，“邏輯與”要使用“&”或“and”，而不能使用“&”； 3、邏輯運算時，“邏輯或”要用“|”或“or”； 4、表達式區(qū)分大小寫，如“udp”不能寫成“Udp”或“UDP”，“eq”不能寫成“Eq”，等。,語法實例：,1、只顯示目的UDP端口為4569或者來源TCP端口為80的封包：, 表達式正確, 表達式錯誤, 表達式正確, 表達式錯誤, 表達式錯誤, 表達式錯誤, 表達式語法正確，F(xiàn)ilter欄背景色為綠色顯示，Enter（回車）后，過濾顯示符合對應條件的封包，語法錯誤背景色為紅色，Enter（回車）后，會彈出錯誤提示信息，不會顯示出對應條件的封包。,2、一個整數(shù)可以用十進制表達，也可以用八進制、十六進制表達，下面的語法意義是相同的：,十進制表達,八進制表達,十六進制表達,例如：,十進制表達,frame.cap_len = 10,frame.cap_len = 012,frame.cap_len = 0xa,八進制表達,十六進制表達,3、以太網(wǎng)地址和字節(jié)數(shù)組使用十六進制表示，十六進制的數(shù)字可以被“：”“.” “- ”分隔。 例如：,4、IPv4地址可以被表示成點分十進制或者使用主機名表示。 例如：,5、當使用IPv4子網(wǎng)劃分的時候，CIDR（Classless InterDomain Routing ）表示法也可以使用。 例如：以下的過濾器可以找到所有129.111的數(shù)據(jù)包：,斜線后面的數(shù)字用于表示子網(wǎng)占用的比特數(shù)。CIDR表示法也用于查找主機名，例如C類網(wǎng)絡(luò)中主機“sneezy”的IP地址。,6、雙引號封裝字符串。 例如：,eth.dst eq ff:ff:ff:ff:ff:ff,aim.data = 0.1.0.d,fddi.src = aa-aa-aa-aa-aa-aa,echo.data eq 7a,ip.dst eq ,ip.src = ,ip.addr/16,ip.addr eq sneezy/24,http.request.method = “GET“,snmp | dns | icmp,常用表達舉例：,顯示SNMP或DNS或ICMP封包。,ip.addr = ,顯示來源或目的IP地址為的封包。,ip.src != or ip.dst != ,顯示來源不為或者目的不為的封包。,ip.src != and ip.dst != ,顯示來源不為并且目的不