WireShark(三)显示过滤器

如何使用显示过滤器

image.png

或者按住 CTRL + F,输入显示过滤器


image.png

二层显示过滤器举例

长度小于128字节的数据包

frame.len<=128

排除ARP流量

!arp

三层显示过滤器举例

只显示192.168.0.1 IP相关数据包

ip.addr==192.168.0.1

四层显示过滤器举例

排除RDP流量

!tcp.port==3389

具有SYN标志的TCP数据包

tcp.flags.syn==1

具有RST标志的TCP数据包

tcp.flags.rst==1

TCP确认时间较久

tcp.analysis.ack_rtt > 0.2 and tcp.len == 0

启用TCP Relative Sequence Number的情况

如何启用?
Edit -> Preferences -> Protocols -> TCP Relative Sequence Numbers

握手被对方拒绝的包

tcp.flags.reset == 1 && tcp.seq == 1

客户端重传

tcp.flags.syn == 1 && tcp.analysis.retransmission

Tcp包含

tcp contains {str}

应用层显示过滤器举例

所有http流量

http

文本管理流量

tcp.port == 23 || tcp.port == 21

文本email流量

email || pop || imap

只显示访问某指定主机名的HTTP协议数据包

http.host == <"hostname">

只显示包含HTTP GET方法的HTTP协议数据包

http.request.method == 'GET'

只显示HTTP 客户端发起的包含指定URI请求的HTTP协议数据包

http.request.uri == <"Full request URI">

只显示包含ZIP文件的数据包

http matches ".zip" && http.request.method == 'GET'

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,967评论 19 139
  • 应用Wireshark显示过滤器分析特定数据流(下)[转]
    如果看了这个你还是不会用Wireshark,那就去杀了她吧,地址EMC中文支持论坛https://communit...
    Xiaodongsu阅读 1,241评论 0 2
  • Linux tcpdump命令详解
    简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者...
    保川阅读 5,989评论 1 13
  • Tcpdump
    简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者...
    JasonShi6306421阅读 1,262评论 0 1
  • 少年的愿望
    在洒满阳光的落地窗 少年沉默地立在窗旁 像一尊有历史的佛像 少年把心中的愿望 小心翼翼地跟佛讲 希望花开无常 庭院...
    向阳狸阅读 413评论 2 2