tcpdump捕获网络数据 wireshark常用显示过滤器

2015-09-28 15:56:00
admin
原创 1831
摘要:tcpdump捕获网络数据 wireshark常用显示过滤器

一、tcpdump捕获网络数据

1、存储参数:-w保存抓取数据,-w不受解析参数影响,-r读取抓取数据;

2、解析参数:-v、-vv、-vvv、-Xs0,-Xs0打印全部报文,其余参数都不打印报文;

3、常用过滤器:-i any、host any、port 8080

4、截获主机发送的所有数据:tcpdump -i eth0 src host 183.16.112.127

5、截获主机接收的所有数据:tcpdump -i eth0 dst host 183.16.112.127


二、wireshark常用显示过滤器

1、winpcap和npcap都是windows的数据包捕获库,wireshark使用这两个库;

2、winpcap已经不再维护,npcap兼容winpcap并持续更新,建议使用npcap;

3、TCP segment of a reassembled PDU,应用层数据分段发送,除了最后一个分段,都会打上这种标识;

4、设置时间显示格式:View,Time Display Format

5、查看一个数据流:右键,Follow TCP Stream

6、数据流是一个连接,使用Stream Index表示,对应变量是tcp.stream;

7、统计的对话和分组长度可以查看每个对话和每种分组的耗时详情;

8、定位分组:使用跳转菜单的转至分组,使用编辑菜单的查找分组

9、过滤帮助:Working With Captured Packets、Building Display Filter Expressions


关系运算符:

==

!=

<

>

<=

>=

contains

matchs


条件组合:

&&

||

!


ip过滤:

ip.src==211.149.156.144

ip.dst==211.149.156.144

ip.addr==211.149.156.144,源IP和目的IP

ip.host==211.149.156.144,源IP和目的IP


端口过滤:

tcp.srcport==80

tcp.dstport==80

tcp.port==80

udp.srcport==80

udp.dstport==80

udp.port==80


协议过滤:

ip.proto==TCP

ip.proto==UDP

ipv6


报文过滤:

tcp.len>0,报文内容非空

tcp.payload contains "text",报文内容过滤

tcp.flags.reset==1,RST报文

tcp.analysis.retransmission,重传数据报文

frame.number==value,数据包序号过滤

frame.time>=start and frame.time<=end,数据包时间过滤


http过滤:

http,显示http请求和结果

http.request,显示http请求

http.response,显示http结果

http.host==www.3scard.com,显示指定host的http请求

http.request.uri contains "/android/index.php",显示指定uri的http请求

发表评论
评论通过审核之后才会显示。