0x00 简介
过滤器提升数据包分析的灵活性,让用户在抓包时可以看到他想要观察的信息
过滤器分为2种:
抓包过滤器和显示过滤器
注:这一章主要的内容选项在:
菜单栏->capture->options
快捷键:ctrl+k
0x01 抓包选项
input:抓包筛选
方框内
interface:可抓取的接口
Traffic:通信量,类似示波器
promiscuous:是否打开杂合模式
可勾选项
是否打开杂合模式
如果勾选,一次性激活所有接口的杂合模式
过滤器选择
可以选择已有的过滤器,也可以自己设置
设置时一定要按照伯克利数据包过滤(BPF)语法来定义过滤
output 导出文件
capture to a permanent file:文件保存路径
output format:文件保存格式
create a new file:自动创建文件的条件
ring buffer:最多创建文件数量
options 显示选项
Display Options 其他选项
- update list
数据包实时更新列表 - automatically scroll
在数据包实时更新的时候,是否保持数据条自动上滚,使显示内容不变 - show extra capture
显示抓包对话框
Name Resolution 地址解析
这个特性可以将二层、三层个四层地址解析未对应的名称
- MAC:解析MAC地址
- network:解析network地址
- transport:解析transport地址
stop capture 停止抓包选项
设定满足以下条件停止抓取新的数据包
- 抓取数据包数量
- 创建文件数量
- 数据的字节数量
- 抓取一段时间后自动停止
0x02 抓包过滤器语法(BPF)
BPF分为两部分:标识符和修饰符
标志符
我们在数据包中寻找的参数。
比如:
IP地址
修饰符
类型
- host:主机
- port:端口
- net:网络链接
方向
src:来自特定主机
dst:去往特定主机
协议
http:抓取http协议
tcp:抓取tcp协议
运算符
and 并且(串联)
or 或者(并联)
not 否(取反)
举例
- 过滤器:
host 192.168.1.1
描述:
所有与主机 192.168.1.1相关的流量 - 过滤器:
port 8080
描述:
所有与8080端口相关的流量 - 过滤器:
src host 192.168.1.1
描述:
所有从主机192.168.1.1始发的流量 - 过滤器:
dsc host 192.168.1.1
描述:
所有去方主机192.168.1.1的流量 - 过滤器:
not port 80
描述:
所有与80端口无关的流量 - 过滤器:
tcp
描述:
所有tcp流量 - 过滤器:
src 192.168.1.1 and tcp port 21
描述:
所有从192.168.1.1并且与tcp端口21相关的流量 - 过滤器:
host www.google.com
描述:
所有去往google IP地址或者来自Google IP地址的流量
9.过滤器:
ether host 07:34:aa:b6:78:89
描述:
所有与这个制定MAC地址相关的流量
BPF.png
0x03 使用协议头部参数的抓包过滤器
语法
语法:
proto[offset:size(optional)]=value
解释:
proto:抓取流量的协议
offset:对应数值在数据包头部的偏移量
size:抓取的长度
value:想要寻找的数据
举例
举例:
icmp[0:1]=0
解释:
只抓取icmp的偏移量为0,长度为1,内容为0的数据包。
过滤器
- 过滤器:
icmp[0]=0
解释:
ICMP请求数据包 - 过滤器:
icmp[0:1]=8
解释:
ICMP相应数据包 - 过滤器:
icmp[0:1]=3
解释:
ICMP目标主机不可达数据包 - 过滤器:
tcp[13]=2
解释:
TCP SYN标记数据包 - 过滤器
tcp[13]=18
解释:
TCP SYN/ACK标记数据包 - 过滤器
tcp[13]=32
解释:
抓取TCP URG标记设置数据包
0x04 显示过滤器
显示过滤器可以用于数据包列表面板上面的 Filter 对话框
显示过滤器,是把不需要的数据包进行隐藏,而不是删除。
5大部分
1. Field Name 协议选择
内部含有所有能抓取的协议,
和各种协议的内置参数,比如ip协议的ip.addr
2. Relation 关系式
所有能用的关系式,提供方便的筛选
3. Value 值
指定查找的值
4. predefined values
某些特定的协议参数的值是固定的,是选择项。
5. Range
范围取值
运算符
同样not,and,or 三个逻辑运算符仍然适用。
0x05 保存过滤器
wireshark 可以保存设置,为以后使用过滤器提供方便。
- 步骤:
Analyze->Display filters
弹出对话框
‘+’ 进行添加
‘-’ 进行删除 - 规则:
背景颜色为红色:表达式输入错误
背景颜色为黄色:表达式的结果可能与预期执行结果不符合
背景颜色为绿色:表达式输入正确 - 应用新添加的过滤器
在过滤器的小旌旗处就会显示刚刚自己添加的过滤器
0x06 搜索数据包
调用方式
- edit->find packets
- Ctrl+F
选项:
- Display filter(对显示列表进行查找)
- Hex value(对16进制进行查找)
- String(对文本信息进行查找)
- regular(使用正则表达式查找)
0x07 给流量标记颜色
- 调用方式
菜单栏:view->coloring rules - 添加和删除
‘+’添加新的规则
‘-’删除规则 -
内容
name:别名
string:表达式
foreground color:前景色
background color:背景色
coloring.png
0x08 创建配置文件
wireshark的强大之处,可以导出和导入配置文件,支持跨平台使用。
- 配置文件的组成
抓包过滤筛选器
显示过滤筛选器
时间优先顺序
列优先顺序
协议优先顺序
颜色配置文件 -
创建过程
状态栏->profile->new
创建配置文件
