Wireshark實(shí)例講解.ppt

Wirshark Filter,Jerry Zhang,June 18, 2010,Wireshark Filter Capture Filter Filter,Capture Filter,設(shè)置Capture filter 步驟: -選擇 Capture - Options 或者使用快捷鍵Ctrl+K -填寫“Capture Filter”欄或者點(diǎn)擊“Capture Filter”按鈕為您的過濾器起一個(gè)名字并保存，以便在今后的捕捉中繼續(xù)使用這個(gè)過濾器 -點(diǎn)擊開始（Start）進(jìn)行捕捉。,Capture Filter 語法： 語法： 例子： iax2 dst 3 4569 and src 11 Protocol（協(xié)議）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果沒有特別指明來源或目的地，則默認(rèn)使用 “src or dst” 作為關(guān)鍵字。 例如，“host 11”與“src or dst host 11”是一樣的。 Host(s): 可能的值： net, port, host, portrange. 如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。 例如，“src 11“與“src host 11“相同。 Logical Operations（邏輯運(yùn)算）: 可能的值：not, and, or. 否(“not”)具有最高優(yōu)先級(jí)。或(“or”)和與(“and”)具有相同的優(yōu)先級(jí)，運(yùn)算時(shí)從左至右進(jìn)行。 例，“not tcp port 3128 and tcp port 23”與“(not tcp port 3128) and tcp port 23”相同。 “not tcp port 3128 and tcp port 23“與“not (tcp port 3128 and tcp port 23)“不同。,Protocol,Direction,Host(s),Other expression,Value,Logical Operations,實(shí)例：,udp dst port 4569,顯示目的UDP端口為4569的封包。,ip src host ,顯示來源IP地址為的封包。,host ,顯示目的或來源IP地址為的封包。,src portrange 2000-5000,顯示來源為TCP或UDP，并且端口在20005000范圍內(nèi)的封包。,not icmp,顯示除icmp以外的封包。,src host and not dst net /24,顯示來源IP地址為，但目的地址不是/24的封包。,(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8,顯示來源IP為2或者來源網(wǎng)絡(luò)為/16，目的地TCP端口號(hào)在200至10000之間，并且目的位于網(wǎng)絡(luò)/8內(nèi)的所有封包。,Filter,Protocol,Value,Other expression,String1,String2,Comparison Operator,Logical Operations,例子： ftp passive ip = or icmp.type,Protocol（協(xié)議）: 可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊“Expression.”按鈕后，您可以看到它們。 比如：IP，TCP，UDP，DNS，SSH,語法：,同樣可以在以下位置找到所支持的協(xié)議,String1，String2（可選項(xiàng)）: 以協(xié)議的子類。 點(diǎn)擊相關(guān)父類旁的“+”號(hào)，然后選擇其子類。,Comparison Operators（比較運(yùn)算符）: 可以使用以下幾種運(yùn)算符：,Logical Expressions（邏輯運(yùn)算符）:,注意： 1、進(jìn)行比較運(yùn)算時(shí)，“等于”要使用“= =”或“eq”，不能使用“=” ； 2、邏輯運(yùn)算時(shí)，“邏輯與”要使用“&”或“and”，而不能使用“&”； 3、邏輯運(yùn)算時(shí)，“邏輯或”要用“|”或“or”； 4、表達(dá)式區(qū)分大小寫，如“udp”不能寫成“Udp”或“UDP”，“eq”不能寫成“Eq”，等。,語法實(shí)例：,1、只顯示目的UDP端口為4569或者來源TCP端口為80的封包：, 表達(dá)式正確, 表達(dá)式錯(cuò)誤, 表達(dá)式正確, 表達(dá)式錯(cuò)誤, 表達(dá)式錯(cuò)誤, 表達(dá)式錯(cuò)誤, 表達(dá)式語法正確，F(xiàn)ilter欄背景色為綠色顯示，Enter（回車）后，過濾顯示符合對(duì)應(yīng)條件的封包，語法錯(cuò)誤背景色為紅色，Enter（回車）后，會(huì)彈出錯(cuò)誤提示信息，不會(huì)顯示出對(duì)應(yīng)條件的封包。,2、一個(gè)整數(shù)可以用十進(jìn)制表達(dá)，也可以用八進(jìn)制、十六進(jìn)制表達(dá)，下面的語法意義是相同的：,十進(jìn)制表達(dá),八進(jìn)制表達(dá),十六進(jìn)制表達(dá),例如：,十進(jìn)制表達(dá),frame.cap_len = 10,frame.cap_len = 012,frame.cap_len = 0xa,八進(jìn)制表達(dá),十六進(jìn)制表達(dá),3、以太網(wǎng)地址和字節(jié)數(shù)組使用十六進(jìn)制表示，十六進(jìn)制的數(shù)字可以被“：”“.” “- ”分隔。 例如：,4、IPv4地址可以被表示成點(diǎn)分十進(jìn)制或者使用主機(jī)名表示。 例如：,5、當(dāng)使用IPv4子網(wǎng)劃分的時(shí)候，CIDR（Classless InterDomain Routing ）表示法也可以使用。 例如：以下的過濾器可以找到所有129.111的數(shù)據(jù)包：,斜線后面的數(shù)字用于表示子網(wǎng)占用的比特?cái)?shù)。CIDR表示法也用于查找主機(jī)名，例如C類網(wǎng)絡(luò)中主機(jī)“sneezy”的IP地址。,6、雙引號(hào)封裝字符串。 例如：,eth.dst eq ff:ff:ff:ff:ff:ff,aim.data = 0.1.0.d,fddi.src = aa-aa-aa-aa-aa-aa,echo.data eq 7a,ip.dst eq ,ip.src = ,ip.addr/16,ip.addr eq sneezy/24,http.request.method = “GET“,snmp | dns | icmp,常用表達(dá)舉例：,顯示SNMP或DNS或ICMP封包。,ip.addr = ,顯示來源或目的IP地址為的封包。,ip.src != or ip.dst != ,顯示來源不為或者目的不為的封包。,ip.src != and ip.dst != ,顯示來源不為并且目的不