Wireshark高级技巧.doc

Wireshark高级技巧 内容提要： 显示过滤器的用法 捕捉过滤器的功能及用法 Wireshark远程抓包 包的拼接和任意拆解 显示过滤器 显示过滤器是我们用得最多的，大家对他的用法应该也比较了解，这里重新介绍一下显示过滤器的语法，并且附上一些我们平常会用得比较多的典型表达式。 语法 [协议].[字符串1].[字符串2] [比较运算符] [值] [逻辑操作符] [其它表达式] 例: sip auth domain == or rtp 这里，“协议”字段可为wireshark所有支持的协议，支持的协议可以从wireshark的“Internals”中找到，“字符串1”“字符串2”是对协议的类型限制，“比较运算符”用来严格指定协议的“值”，逻辑操作符用来连接多个表达式。 比较运算符有下面6种： 英文写法 C语言写法 含义 eq == 等于 ne !- 不等于 gt 大于 lt 小于 ge = 大于等于 le = 小于等于 逻辑运算符有下面4种： 英文写法 C语言写法 含义 and 逻辑与 or || 逻辑或 xor ^^ 异或 not ！ 逻辑非 常用实例 过滤器 意义 eth.vlan.id == 1024 显示VLAN ID为1024的所有流量 eth.addr == 00:11:11:11:11:11 显示MAC地址为00:11:11:11:11:11的所有流量 eth.src == 00:11:11:11:11:11 显示源MAC地址为00:11:11:11:11:11的所有流量 eth.dst == 00:11:11:11:11:11 显示目的MAC地址为00:11:11:11:11:11的所有流量 eth.src == 00:11:11:11:11:11 eth.dst == 00:11:11:11:11:12 显示源MAC地址为00:11:11:11:11:11和目的MAC地址为00:11:11:11:11:12的所有流量 eth.addr == 00:11:11:11:11:11 显示MAC地址为00:11:11:11:11:11的所有流量 arp 显示所有ARP流量 arp.src.hw == 00:11:11:11:11:11 显示所有ARP源硬件地址为00:11:11:11:11:11的流量 icmp 显示所有ICMP报文 icmp eth.src == 00:11:11:11:11:11 显示所有MAC地址为00:11:11:11:11:11的ICMP报文 icmp.type == 8 显示所有ICMP请求 icmp.type == 0 显示所有ICMP应答 ip 显示所有IP报文 ip.addr== ip.src==或ip.src_host== 显示所有源IP地址为的流量 ip.dst==或ip.dst_host== 显示所有目的IP地址为的流量 ip.src== and ip.dst!= 显示所有源IP地址为而目的IP地址不为的流量 ip.dst==/24 显示所有到达网络/24的IP流量 icmp || dns || snmp 显示icmp和dns和snmp包 tcp.port == 23 显示端口号为23的流量，即显示所有telnet的流量 tcp.dstport == 23 显示目标端口号为23的流量，即显示到telnet服务器的流量 tcp.port ==20 || tcp.port == 21 显示所有FTP流量 tcp.port == 53 显示所有DNS包，当DNS查询方式为TCP时 dns 显示所有DNS包，当DNS查询方式为UDP时 sip 显示所有SIP包 sip or rtp 显示所有sip包和rtp包 udp.port == 5060 显示所有端口号为5060的包 bootp 显示所有dhcp或者bootp包 tcp.port == 20 or tcp.port == 21 显示所有FTP包 sip.Request-Line 显示所有SIP请求包 sip.Status-Line 显示所有SIP状态包 sip.P-Preferred-Identity 显示所有含有PPI域的SIP包 暂时列这么多了，其他表达式待以后想起来再添加，若想要查询更多的表达式，可以点“Expression”获取： 捕捉过滤器 大家在使用Wireshark时一般都没有使用捕捉过滤器，这样做的后果是抓到了大量自己并不需要的数据包，这些不相干的数据包严重影响到了我们对问题的分析与定位。而且如果长时间抓包时，若使用常