<svg xmlns="http://www.w3.org/2000/svg" style="display: none;"> <path stroke-linecap="round" d="M5,0 0,2.5 5,5z" id="raphael-marker-block" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0);"></path> </svg> 讯享网
1、打开DOS命令行
讯享网
count: 表示要捕获数据包的数量。默认为0(不限制数量)
filter: 流量的过滤规则。使用的是 BPF 的语法
prn: 定义回调函数,使用lambda表达式来写回调函数(当符合filter的流量被捕获时,就会执行回调函数)
【BPF过滤语法举例】
只捕获某个IP主机进行交互的流量:host 192.168.1.124
只捕获某个MAC地址主机的交互流量:ether src host 00:87:df:98:65:d8
只捕获来源于某一IP的主机流量:src host 192.168.1.125
只捕获去往某一IP的主机流量:dst host 192.168.1.154
只捕获80端口的流量:port 80
只捕获除80端口以外的其他端口流量:!port 80
只捕获ICMP流量:ICMP
只捕获源地址为192.168.1.125且目的端口为80的流量:src host 192.168.1.125 && dst port 80
只捕获源地址为192.168.1.124且目的端口为80的流量:
安装: https://www.wireshark.org/download.html
2.1 抓包过滤器语法和实例:
(1)协议过滤:直接在抓包过滤框中直接输入协议名即可。
(2)IP过滤
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
!broadcast 不抓取广播数据包
2.2 显示过滤器语法和实例:
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
ip.dst==112.53.42.42, 显示目标地址为112.53.42.42的数据包列表
ip.addr == 112.53.42.42 显示源IP地址或目标IP地址为112.53.42.42的数据包列表
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
2.3 常见用显示过滤需求及其对应表达式
eth.src == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包----
eth.src == 04:f9:38:ad:13:26
ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据
ip contains “192.168.1”
tcp.port == 80
筛选12345端口和80端口之间的数据包
tcp.port == 12345 &&tcp.port == 80
筛选从12345端口到80端口的数据包
tcp.srcport == 12345 &&tcp.dstport == 80
筛选url中包含.php的http数据包
http.request.uri contains “.php”
筛选内容包含username的http数据包
http contains “username”
读取 pcapng 文件有两种方式:
讯享网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/152432.html