WireShark過濾語法

1、/*WireShark 過濾語法*/1.過濾 IP,如來源 IP 或者目標 IP 等于某個 IP例子：ip.srceq07orip.dsteq07或者ip.addreq07/都能顯示來源 IP 和目標 IP2.過濾端口例子：tcp.porteq80/不管端口是來源的還是目標的都顯示tcp.port=80tcp.porteq2722tcp.porteq80orudp.porteq80tcp.dstport=80/只顯 tcp 協(xié)議的目標端口 80tcp.srcport=80/只顯 tcp 協(xié)議的來源端口 80udp.porteq1

2、5000過濾端口范圍tcp.port=1andtcp.port=803.過濾協(xié)議例子：tcpudparpicmphttpsmtp即dnsmsnmsipssloicqbootp等等排除 arp 包，如！arp 或者 notarp4.過濾 MAC太以網(wǎng)頭過濾eth.dst=A0:00:00:04:C5:84/過濾目標 maceth.srceqA0:00:00:04:C5:84/過濾來源 maceth.dst=A0:00:00:04:C5:84eth.dst=A0-00-00-04-C5-84eth.addreqA0:00:00:04:C5:84/過濾來源 MAC 和目標 MAC 者 B 等于 A0

3、:00:00:04:C5:84 的lessthan/J、于=7 指的是 ip 數(shù)據(jù)包（tcp 下面那塊數(shù)據(jù)），不包括 tcp 本身ip.len=94 除了以太網(wǎng)頭固定長度 14,其它都算是 ip.len,即從 ip 本身到最后frame.len=119 整個數(shù)據(jù)包長度，從 eth 開始到最后eth-iporarp-tcporudp-data6.http 模式過濾例子：http.request.method=GEThttp.request.method=POSThttp.request.uri=/img/logo-edu.gifhttpcontainsGEThttpcontainsHTTP/1.

4、/GET 包http.request.method=GET&httpcontainsHost:http.request.method=GET&httpcontainsUser-Agent:/POST 包http.request.method=POST&httpcontainsHost:http.request.method=POST&httpcontainsUser-Agent:/響應包httpcontainsHTTP/1.1200OK&httpcontainsContent-Type:httpcontainsHTTP/1.0200OK&http

5、containsContent-Type:一定包含如下 Content-Type:7.TCP 參數(shù)過濾tcp.flags 顯示包含 TCP 標志的封包。tcp.flags.syn=0 x02 顯示包含 TCPSYN 標志的封包。tcp.window_size=0&tcp.flags.reset!=18.過濾內(nèi)容tcp20表示從 20 開始，取 1 個字符tcp20:表示從 20 開始，取 1 個字符以上tcp20:8表示從 20 開始，取 8 個字符 tcpoffset,nudp8:3=81:60:03/偏移 8 個 bytes,再取 3 個數(shù)，是否與=后面的數(shù)據(jù)相等？udp8:1=3

6、2 如果我猜的沒有錯的話，應該是 udpoffset:截取個數(shù)尸 nValueeth.addr0:3=00:06:5B例子：判斷 upd 下面那塊數(shù)據(jù)包前三個是否等于 0 x200 x210 x22我們都知道 udp 固定長度為 8udp8:3=20:21:22判斷 tcp 那塊數(shù)據(jù)包前三個是否等于 0 x200 x210 x22tcp 一般情況下，長度為 20,但也有不是 20 的時候tcp8:3=20:21:22如果想得到最準確的，應該先知道 tcp 長度matches 陋配）和 contains（包含某字符串）語法ip.src=07andudp8:5matchesx

7、02x12x21x00 x22ip.src=07andudpcontains02:12:21:00:22ip.src=07andtcpcontainsGETudpcontains7c:7c:7d:7d 匹配 payload 中含有 0 x7c7c7d7d 的 UDP 數(shù)據(jù)包，不一定是從第一字節(jié)匹配。例子：得到本地 qq 登陸數(shù)據(jù)包（判斷條件是第一個包=0 x02 第四和第五個包等于 0 x00 x22 最后一個包等于0 x03）0 x02xxxx0 x000 x22.0 x03正確oicqandudp8:matchesAx02x00-xffx00-x

8、ffx00 x22x00-xff+x03$oicqandudp8:matchesAx02x00-xff2x00 x22x00-xff+x03$/登陸包oicqand(udp8:matchesAx02x00-xff2x03$ortcp8:matchesAx02x00-xff2x03$)oicqand(udp8:matchesAx02x00-xff2x00 x22x00-xff+x03$ortcp20:matchesAx02x00-xff2x00 x22x00-xff+x03$)不單單是 00:22 才有 QQ 號碼,其它的包也有，要滿足下面條件(tcp 也有，但沒有做):oicqandudp8:

9、matchesAx02x00-xff+x03$and!(udp11:2=00:00)and!(udp11:2=00:80)oicqandudp8:matchesAx02x00-xff+x03$and!(udp11:2=00:00)and!(udp15:4=00:00:00:00)說明：udp15:4=00:00:00:00 表示 QQ 號碼為空udp11:2=00:00 表示命令編號為 00:00udp11:2=00:80 表示命令編號為 00:80當命令編號為 00:80 時，QQ 號碼為 00:00:00:00得到 msn 登陸成功賬號(判斷條件是USR7OK，即前三個等于 USR,再通過

10、兩個 0 x20,就到 OK,OK后面是一個字符 0 x20 后面就是 mail 了)USRxxOK正確msnmsandtcpandip.addr=07andtcp20:matchesAUSRx20 x30-x39+x20OKx20 x00-xff+9.dns 模式過濾10.DHCP以尋找偽造 DHCP 服務器為例，介紹 Wireshark 的用法。在顯示過濾器中加入過濾規(guī)則，顯示所有非來自 DHCP 服務器并且 bootp.type=0 x02(Offer/Ack)的信息：bootp.type=0 x02andnotip.src=11.msnmsn

11、ms&tcp23:1=20/第四個是 0 x20 的 msn 數(shù)據(jù)包msnms&tcp20:1=41&tcp20:1=41&tcp21:1=41&tcp22:1=41&tcp20:1=41&tcp21:1=41&tcp22:1=5A3）第四個為 0 x20 如:tcp23:1=204）msn 是屬于 TCP 協(xié)議的，如 tcpMSNMessenger 協(xié)議分析http:/ 協(xié)議分析http:/ 主界面的操作菜單中英對比http:/ Ethereal/Wireshark 網(wǎng)站http:/ 基本的語法字符d0-9 的數(shù)字Dd 的補集（

12、以所以字符為全集，下同），即所有非數(shù)字的字符w 單詞字符，指大小寫字母、0-9 的數(shù)字、下劃線Ww 的補集s 空白字符，包括換行符n、回車符r、制表符t、垂直制表符v、換頁符fSs 的補集.除換行符n 外的任意字符。在 Perl 中，可以匹配新行符的模式被稱作單行模式.*匹配任意文本，不包括回車（n）?。而，0 x00-0 xff*匹配任意文本，包括n匹配口內(nèi)所列出的所有字符A匹配非口內(nèi)所列出的字符2、定位字符所代表的是一個虛的字符，它代表一個位置，你也可以直觀地認為定位字符”所代表的是某個字符與字符間的那個微小間隙。表示其后的字符必須位于字符串的開始處表示其前面的字符必須位于字符串的結束處b

13、 匹配一個單詞的邊界B 匹配一個非單詞的邊界3、重復描述字符n匹配前面的字符 n 次n,匹配前面的字符 n 次或多于 n 次n,m匹配前面的字符 n 到 m 次?匹配前面的字符 0 或 1 次+匹配前面的字符 1 次或多于 1 次*匹配前面的字符 0 次或式于 0 次4、andor 匹配and 符號并or 符號或例如：tcpandtcp.port=80tcporudp5、wireshark 過濾匹配表達式實例5.1、搜索按條件過濾 udp 的數(shù)據(jù)段 payload（數(shù)字 8 是表示 udp 頭部有 8 個字節(jié)，數(shù)據(jù)部分從第 9 個字節(jié)開始 udp8:）udp8=14（14 是十六進制 0 x1

14、4）匹配 payload 第一個字節(jié) 0 x14 的 UDP 數(shù)據(jù)包udp8:2=14:05 可以 udp8:2=1405,且只支持 2 個字節(jié)連續(xù)，三個以上須使用冒號：分隔表示十六進制。（相當于 udp8=14andudp9=05,1405 是 0 x1405）udp8:3=22:00:f7 但是不可以 udp8:3=2200f7udp8:4=00:04:00:2a,匹配 payload 的前 4 個字節(jié) 0 x0004002a而 udpcontains7c:7c:7d:7d 匹配 payload 中含有 0 x7c7c7d7d 的 UDP 數(shù)據(jù)包，不一定是從第一字節(jié)匹配。udp8:4mat

15、chesx14x05x07x18udp8:matchesAx14x05x07x18x145.2、搜索按條件過濾 tcp 的數(shù)據(jù)段 payload（數(shù)字 20 是表示 tcp 頭部有 20 個字節(jié)，數(shù)據(jù)部分從第 21個字節(jié)開始 tcp20:）tcp20:matchesAGET-*HTTP/1.1x0dx0a等同httpmatchesAGET-*HTTP/1.1x0dx0atcp20:matchesAGET(.*?)HTTP/1.1x0dx0atcp20:matchesAGET(.*?)HTTP/1,1x0dx0ax00-xff*Host:(.*?)pplive(.*?)x0dx0a”tcp20:

16、matchesAGET(.*?)HTTP/1.1x0dx0ax00-xff*Host:tcp20:matchesAPOST/HTTP/1.1x0dx0ax00-xff*x0dx0aConnection:Keep-Alivex0dx0ax0dx0a檢測 SMB 頭的 smb 標記，指明 smb 標記從 tcp 頭部第 24byte 的位置開始匹配。tcp24:4=ff:53:4d:42檢測 SMB 頭的 smb 標記，tcp 的數(shù)據(jù)包含十六進制 ff:53:4d:42,從 tcp 頭部開始搜索此數(shù)據(jù)。tcpcontainsff:53:4d:42tcpmatchesxffx53x4dx42檢測 tcp 含有十六進制 01:bd,從 tcp 頭部開始搜索此數(shù)據(jù)。tcpmatchesx01xbd檢測 MS08067 的 RPC 請求路徑tcp179:13=00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00.5.3、其他http.request.uri