tshark過濾欄位

A. wireshark怎麼設置過濾條件

應寫為：
ip.addr==210.32.1.123||tcp.port==80

這樣就可以過濾出來和這個IP相關的80埠的信息了。

B. 如何利用wireshark只抓特定欄位的報文

可以全部抓然後過濾，或者用tcpmp類似的捕獲表達式來截包，比如 (icmp[0] = 0) and (icmp[4:2] = 0x1f4) 這種過濾特定欄位，不過用wireshark的顯示過濾表達式功能更強大。

C. 怎麼刪除wireshark里的過濾條件

方法/步驟

1過濾源ip、目的ip。在wireshark的過濾規則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1；

2埠過濾。如過濾80埠，在Filter中輸入，tcp.port==80，這條規則是把源埠和目的埠為80的都過濾出來。使用tcp.dstport==80隻過濾目的埠為80的，tcp.srcport==80隻過濾源埠為80的包；

3協議過濾比較簡單，直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議；

4

http模式過濾。如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"；

5

連接符and的使用。過濾兩種條件時，使用and連接，如過濾ip為192.168.101.8並且為http協議的，ip.src==192.168.101.8
and http。

D. 在linux上tshark怎麼過濾

抓Mysql包命令如下：
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
過濾HTTP請求：
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'
輸出：
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 123.126.68.27 -> 173.255.196.50 HTTP GET /grep.html HTTP/1.1
12.066470 123.126.68.27 -> 173.255.196.50 HTTP GET /pro_lang.html HTTP/1.1
-s 512 :只抓取前512個位元組數據
-i eth0 :捕獲eth0網卡
-n :禁止網路對象名稱解析
-f 'tcp dst port 3306' :只捕捉協議為tcp,目的埠為3306的數據包
-R 'mysql.query' :過濾出mysql.query
-T fields -e mysql.query :列印mysql查詢語句

tshark使用-f來指定捕捉包過濾規則，規則與tcpmp一樣，可以通過命令man pcap-filter來查得。
tshark使用-R來過濾已捕捉到的包，與界面板wireshark的左上角Filter一致。

E. wireshark 抓包的過濾條件（關於syn包）

看下面紅色的，如果不知道欄位怎麼設置，就點擊，左下角會顯示該欄位的過濾

比如tcp.flags.ack==1就會過濾出所有的ack包。

F. wireshark抓包時對數據包中內容怎麼過濾

啟動wireshark，選復擇網卡，開始抓包 在過制濾裡面輸入oicq 就把QQ的包都過濾出來了 按照源和目的地址的區分，可以且僅可以分析出你抓包對象的QQ號碼 QQ現在使用密文發送，抓不出來聊天的內容了

G. wireshark 如何寫過濾規則

一、IP過濾：包括來源IP或者目標IP等於某個IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP

二、埠過濾：
比如：tcp.port eq 80 // 不管埠是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的來源埠80

過濾埠范圍
tcp.port >= 1 and tcp.port <= 80

三、協議過濾：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者 not ssl

四、包長度過濾：
比如：
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個數據包長度,從eth開始到最後

五、http模式過濾：
例子:
http.request.method == 「GET」
http.request.method == 「POST」
http.request.uri == 「/img/logo-e.gif」
http contains 「GET」
http contains 「HTTP/1.」

// GET包
http.request.method == 「GET」 && http contains 「Host: 」
http.request.method == 「GET」 && http contains 「User-Agent: 」
// POST包
http.request.method == 「POST」 && http contains 「Host: 」
http.request.method == 「POST」 && http contains 「User-Agent: 」
// 響應包
http contains 「HTTP/1.1 200 OK」 && http contains 「Content-Type: 」
http contains 「HTTP/1.0 200 OK」 && http contains 「Content-Type: 」
一定包含如下
Content-Type:

六、連接符 and / or

七、表達式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

H. Wireshark過濾規則如何書寫過濾一段ip地址（例如192.168.1.1~192.168.1.30)

後面跟上掩碼位數就行了啊你這樣的話可以選擇過濾ip.addr==192.168.1.1/27 就行了，這樣過濾的就是192.168.1.0~192.168.1.31這個地址段的地址了

I. 請教tshark源碼整合

tshark是wireshark的指令形式，有些情況下抓取網路包但是不想調用圖形界面時，可以用tshark
1、下載libpcap源代碼

http://www.tcpmp.org/

libpcap-x.x.x.tar.gz libpcap安裝源文件

2. 解壓縮libpcap

tar zxvf libpcap-x.x.x.tar.gz

進入到解壓縮後的文件夾中 cd libpcap- x.x.x

3. 安裝flex

apt-get install flex

4. 安裝bison

apt-get install biso

5. 安裝libpcap

./configure

make

make install

6. 安裝tshark

apt-get install tshark

7、指令應用

tshark是wireshark命令行形式

1）指定要監聽的介面

-i <介面名稱>

比如-i eth2.如果不用-i指定監聽的介面，則默認為介面列表中第一個非回環介面（-D列印介面列表）

2）可監聽的介面列表

-D 列印介面列表

3）設置cap過濾條件

-f <過濾參數設置>

A. 設置監聽的協議類型：-f udp/tcp/http 註：協議類型必須為小寫

B. 設置源ip： -f「src host x.x.x.x」

C. 設置源埠： -f「src port xx」

D. 設置源ip和源埠： -f 「srchost x.x.x.x and src port xx」

E. 設置目的ip： -f「dst host x.x.x.x」

F. 設置目的埠： -f「dst port xx」

G. 設置目的ip和埠： -f 「dsthost x.x.x.x and port xx」

註：設置ip或埠時，必須用雙引號

4）設置抓包數

-c <包數量> ，比如-c 15 表示抓15個包就停止

5） 設置cap包容量

-a filesize:NUM

其中NUM為filesize的包容量，用此命令需要用-w命令指定保存的文件包。NUM單位為KB

6）保存文件

-w <文件名稱>

-w後面是要保存到的文件名字，也可以指定路徑

7） 在屏幕中顯示抓包的內容

-S

8）指定數據包的最大長度

-s <數據包長度>，單位為bytes

其他指令請參照在線幫助

J. 如何在wireshark中抓包過濾返回內容包含某字元串的數據

1)如果是一些已經有插件可以提取的數據，可以直接使用，比如voip分析這塊就可以直接導出G711的音頻碼流，甚至直接播放
2)如果wireshark還沒有插件支持，自己寫代碼支持，比如用lua插件，或者直接用winpcap 開發包來操縱截包處理。