Wireshark高级技巧

Wireshark高级技巧

内容提要：

? ? ? ?

显示过滤器的用法

捕捉过滤器的功能及用法 Wireshark远程抓包 包的拼接和任意拆解

显示过滤器

显示过滤器是我们用得最多的，大家对他的用法应该也比较了解，这里重新介绍一下显示过滤器的语法，并且附上一些我们平常会用得比较多的典型表达式。

? 语法

[协议].[字符串1].[字符串2] [比较运算符] [值] [逻辑操作符] [其它表达式]

例: sip auth domain == ims.sh.chinamobile.com or rtp

这里，“协议”字段可为wireshark所有支持的协议，支持的协议可以从wireshark的“Internals”中找到，“字符串1”“字符串2”是对协议的类型限制，“比较运算符”用来严格指定协议的“值”，逻辑操作符用来连接多个表达式。

比较运算符有下面6种： 英文写法 eq ne gt lt C语言写法 含义 == !- > < 等于 不等于 大于 小于 ge le 逻辑运算符有下面4种：

英文写法 and or xor not ? 常用实例 过滤器 eth.vlan.id == 1024 eth.addr == 00:11:11:11:11:11 eth.src == 00:11:11:11:11:11 eth.dst == 00:11:11:11:11:11 >= <= 大于等于 小于等于 C语言写法 含义 && 逻辑与 || 逻辑或 ^^ ！ 异或 逻辑非 意义 显示VLAN ID为1024的所有流量 显示MAC地址为00:11:11:11:11:11的所有流量 显示源MAC地址为00:11:11:11:11:11的所有流量 显示目的MAC地址为00:11:11:11:11:11的所有流量 eth.src == 00:11:11:11:11:11 && eth.dst == 显示源MAC地址为00:11:11:11:11:11和目的00:11:11:11:11:12 MAC地址为00:11:11:11:11:12的所有流量 eth.addr == 00:11:11:11:11:11 arp arp.src.hw == 00:11:11:11:11:11 icmp icmp && eth.src == 00:11:11:11:11:11 icmp.type == 8 icmp.type == 0 ip ip.addr==192.168.0.1 ip.src==192.168.0.1或ip.src_host==192.168.0.1 ip.dst==192.168.0.1或ip.dst_host==192.168.0.1 ip.src==192.168.0.1 and ip.dst!=192.168.0.2 ip.dst==192.168.0.0/24 icmp || dns || snmp tcp.port == 23 显示MAC地址为00:11:11:11:11:11的所有流量 显示所有ARP流量 显示所有ARP源硬件地址为00:11:11:11:11:11的流量 显示所有ICMP报文 显示所有MAC地址为00:11:11:11:11:11的ICMP报文 显示所有ICMP请求 显示所有ICMP应答 显示所有IP报文 显示所有源IP地址为192.168.0.1的流量 显示所有目的IP地址为192.168.0.1的流量 显示所有源IP地址为192.168.0.1而目的IP地址不为192.168.0.2的流量 显示所有到达网络192.168.0.0/24的IP流量 显示icmp和dns和snmp包 显示端口号为23的流量，即显示所有telnet的流量 tcp.dstport == 23 tcp.port ==20 || tcp.port == 21 tcp.port == 53 dns sip sip or rtp udp.port == 5060 bootp tcp.port == 20 or tcp.port == 21 sip.Request-Line sip.Status-Line sip.P-Preferred-Identity 显示目标端口号为23的流量，即显示到telnet服务器的流量 显示所有FTP流量 显示所有DNS包，当DNS查询方式为TCP时 显示所有DNS包，当DNS查询方式为UDP时 显示所有SIP包 显示所有sip包和rtp包 显示所有端口号为5060的包 显示所有dhcp或者bootp包 显示所有FTP包 显示所有SIP请求包 显示所有SIP状态包 显示所有含有PPI域的SIP包 暂时列这么多了，其他表达式待以后想起来再添加，若想要查询更多的表达式，可以点“Expression”获取：

捕捉过滤器

大家在使用Wireshark时一般都没有使用捕捉过滤器，这样做的后果是抓到了大量自己并不需要的数据包，这些不相干的数据包严重影响到了我们对问题的分析与定位。而且如果长时间抓包时，若使用常规抓包模式，抓到的大量数据包会影响电脑的性能，以及抓到的包占用很大的磁盘空间不利于存储与传送。特别是在测试或者比较大型的网络环境时，所有设备处在同一个广播域，如果使用常规的抓包方式将会有大量不是自己需要的包被wireshark捕获，比如同时捕获了多台设备的SIP包但是自己只需要其中一台设备的SIP包，这样势必给自己的分析带来不利，而如果使用捕捉过滤器抓包，那抓到的包将完全是自己想要的包，而其他不想要的包都将会被wireshark排除在外，所以大家应该熟悉如何使用捕捉过滤器。

? 使用捕捉过滤器 打开wireshark后，点击工具栏的第二个按钮，或者选择capture->options即可设置捕捉过滤器，选定用于抓包的网卡，填写好捕捉规则点击start即可按过滤器抓取网络包。