wireshark过滤数据包指定字段

⑴ wireshark 如何写过滤规则

一、IP过滤：包括来源IP或者目标IP等于某个IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：
比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：
比如：
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-e.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

⑵ 如何利用wireshark只抓特定字段的报文

一般是打开截包后，在filter框后面有个Expression...，点击后打开对话框，就可以选择各个协议的字段和相应的表达符号了。可以帮助你构建表达式的。

当然，你直接输入的话也可以的。 比如radius.User_Name==E13201029

================================================
再补充一下，在gui窗口，点中你红色标出来的字段的时候，wireshark左下角会显示字段名的。你也可以直接右键选择红色的部分，然后有菜单项作为 as filter 什么的。就直接过滤了。

⑶ wireshark抓包时对数据包中内容怎么过滤

启动wireshark，选复择网卡，开始抓包 在过制滤里面输入oicq 就把QQ的包都过滤出来了 按照源和目的地址的区分，可以且仅可以分析出你抓包对象的QQ号码 QQ现在使用密文发送，抓不出来聊天的内容了

⑷ wireshark 抓hdlc中的字段含义

wireshark 抓hdlc中的字段含义：

F A C FCS F （S帧， U帧）。

F： 标志字段， （011111110B = 7EH）， 标志帧的开始和结束。

A： 地址字段。

I： 报文数据。

flagS是flag Segment的缩写，标志字段。它其实是IP报文头中的一个字段，因为TCP、UDP协议，应用层协议大部分都是封装在IP包中的，所以分析这些协议时，就会经常看到这个字段。

工作流程：

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

⑸ 如何通过wireshark抓取某个指定网站的数据包

方法步骤如下：

1、首先打开计算机，下载并安装wireshark，在网络搜Wireshark，下载或其他渠道下载都可以，下载后默认安装即可。

⑹ 用wireshark抓包时怎么过滤

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤专器有两种，

一种属是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

⑺ 如何在wireshark中抓包过滤返回内容包含某字符串的数据

1)如果是一些已经有插件可以提取的数据，可以直接使用，比如voip分析这块就可以直接导出G711的音频码流，甚至直接播放
2)如果wireshark还没有插件支持，自己写代码支持，比如用lua插件，或者直接用winpcap 开发包来操纵截包处理。