Wireshark 抓包常用過(guò)濾命令

藍(lán)隊(duì)云小課堂：

一、根據(jù) IP 地址過(guò)濾

case 1、篩選出源 IP 或者目的 IP 地址是 192.168.3.77 的全部數(shù)據(jù)包

過(guò)濾命令：

ip.addr == 192.168.3.77

case 2、篩選出源 IP 地址是 182.254.3.77 的數(shù)據(jù)包

過(guò)濾命令：

ip.src_host == 192.168.1.114

case 3、篩選出目的地址是192.168.1.114的數(shù)據(jù)包

過(guò)濾命令：

ip.dst_host == 192.168.1.114

二、根據(jù)端口過(guò)濾

case 1、根據(jù) TCP 端口篩選數(shù)據(jù)包，包括源端口和目的端口

過(guò)濾命令：

tcp.port == 80

case 2、根據(jù) TCP 目的端口篩選數(shù)據(jù)包

過(guò)濾命令：

tcp.dstport == 80

case 3、根據(jù) TCP 源端口篩選數(shù)據(jù)包

過(guò)濾命令：

tcp.srcport==80

case 4、根據(jù) UDP 端口篩選數(shù)據(jù)包，包括源端口和目的端口

過(guò)濾命令：

udp.port == 1234

case 5、根據(jù) UDP 源端口篩選數(shù)據(jù)包

過(guò)濾命令：

udp.srcport == 1234

case 6、根據(jù) UDP 的目的端口篩選數(shù)據(jù)包

過(guò)濾命令：

udp.dstport == 1234

三、根據(jù)協(xié)議過(guò)濾

常用的網(wǎng)絡(luò)協(xié)議有 udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip 等。

case 1、篩選出 http 協(xié)議中 GET 請(qǐng)求的數(shù)據(jù)包

過(guò)濾命令：

http.request.method == GET

注意：GET 一定要大寫(xiě)！

case 2、篩選出 http 協(xié)議中的 POST 請(qǐng)求的數(shù)據(jù)包

過(guò)濾命令：

http.request.method == POST

注意：POST 一定要大寫(xiě)！

四、根據(jù) Payload Type 條件過(guò)濾

可以根據(jù)網(wǎng)絡(luò)包的 Payload Type 類(lèi)型進(jìn)行條件過(guò)濾，比如根據(jù)下圖中的 111 枚舉值過(guò)濾。

過(guò)濾條件如下：

rtp.p_type == 111

五、根據(jù)組合條件過(guò)濾

case 1、篩選出源 IP 地址是 192.168.3.77 且目的 IP 地址是 192.168.3.78 的數(shù)據(jù)包

過(guò)濾命令：

ip.src_host == 192.168.3.77 && ip.dst_host == 192.168.3.78

case 2、篩選出源 IP 地址是 192.168.3.77 或者源 IP 地址是 192.168.3.78 的數(shù)據(jù)包

過(guò)濾命令：

ip.src_host == 192.168.3.77 && ip.src_host == 192.168.3.78

case 3、篩選出不是 IP 地址 192.168.3.77 的數(shù)據(jù)包

過(guò)濾命令：

!(ip.addr == 192.168.3.77)

更多小知識(shí)，可聯(lián)系藍(lán)隊(duì)云一起探討。