tshark过滤字段

A. wireshark怎么设置过滤条件

应写为：
ip.addr==210.32.1.123||tcp.port==80

这样就可以过滤出来和这个IP相关的80端口的信息了。

B. 如何利用wireshark只抓特定字段的报文

可以全部抓然后过滤，或者用tcpmp类似的捕获表达式来截包，比如 (icmp[0] = 0) and (icmp[4:2] = 0x1f4) 这种过滤特定字段，不过用wireshark的显示过滤表达式功能更强大。

C. 怎么删除wireshark里的过滤条件

方法/步骤

1过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；

2端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；

3协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；

4

http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；

5

连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8
and http。

D. 在linux上tshark怎么过滤

抓Mysql包命令如下：
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
过滤HTTP请求：
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'
输出：
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 123.126.68.27 -> 173.255.196.50 HTTP GET /grep.html HTTP/1.1
12.066470 123.126.68.27 -> 173.255.196.50 HTTP GET /pro_lang.html HTTP/1.1
-s 512 :只抓取前512个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
-R 'mysql.query' :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句

tshark使用-f来指定捕捉包过滤规则，规则与tcpmp一样，可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包，与界面板wireshark的左上角Filter一致。

E. wireshark 抓包的过滤条件（关于syn包）

看下面红色的，如果不知道字段怎么设置，就点击，左下角会显示该字段的过滤

比如tcp.flags.ack==1就会过滤出所有的ack包。

F. wireshark抓包时对数据包中内容怎么过滤

启动wireshark，选复择网卡，开始抓包 在过制滤里面输入oicq 就把QQ的包都过滤出来了 按照源和目的地址的区分，可以且仅可以分析出你抓包对象的QQ号码 QQ现在使用密文发送，抓不出来聊天的内容了

G. wireshark 如何写过滤规则

一、IP过滤：包括来源IP或者目标IP等于某个IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：
比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：
比如：
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-e.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

H. Wireshark过滤规则如何书写过滤一段ip地址（例如192.168.1.1~192.168.1.30)

后面跟上掩码位数就行了啊你这样的话可以选择过滤ip.addr==192.168.1.1/27 就行了，这样过滤的就是192.168.1.0~192.168.1.31这个地址段的地址了

I. 请教tshark源码整合

tshark是wireshark的指令形式，有些情况下抓取网络包但是不想调用图形界面时，可以用tshark
1、下载libpcap源代码

http://www.tcpmp.org/

libpcap-x.x.x.tar.gz libpcap安装源文件

2. 解压缩libpcap

tar zxvf libpcap-x.x.x.tar.gz

进入到解压缩后的文件夹中 cd libpcap- x.x.x

3. 安装flex

apt-get install flex

4. 安装bison

apt-get install biso

5. 安装libpcap

./configure

make

make install

6. 安装tshark

apt-get install tshark

7、指令应用

tshark是wireshark命令行形式

1）指定要监听的接口

-i <接口名称>

比如-i eth2.如果不用-i指定监听的接口，则默认为接口列表中第一个非回环接口（-D打印接口列表）

2）可监听的接口列表

-D 打印接口列表

3）设置cap过滤条件

-f <过滤参数设置>

A. 设置监听的协议类型：-f udp/tcp/http 注：协议类型必须为小写

B. 设置源ip： -f“src host x.x.x.x”

C. 设置源端口： -f“src port xx”

D. 设置源ip和源端口： -f “srchost x.x.x.x and src port xx”

E. 设置目的ip： -f“dst host x.x.x.x”

F. 设置目的端口： -f“dst port xx”

G. 设置目的ip和端口： -f “dsthost x.x.x.x and port xx”

注：设置ip或端口时，必须用双引号

4）设置抓包数

-c <包数量> ，比如-c 15 表示抓15个包就停止

5） 设置cap包容量

-a filesize:NUM

其中NUM为filesize的包容量，用此命令需要用-w命令指定保存的文件包。NUM单位为KB

6）保存文件

-w <文件名称>

-w后面是要保存到的文件名字，也可以指定路径

7） 在屏幕中显示抓包的内容

-S

8）指定数据包的最大长度

-s <数据包长度>，单位为bytes

其他指令请参照在线帮助

J. 如何在wireshark中抓包过滤返回内容包含某字符串的数据

1)如果是一些已经有插件可以提取的数据，可以直接使用，比如voip分析这块就可以直接导出G711的音频码流，甚至直接播放
2)如果wireshark还没有插件支持，自己写代码支持，比如用lua插件，或者直接用winpcap 开发包来操纵截包处理。