wireshark常见使用表达式

wireshark常见使用表达式
目录
- 1. 捕获过滤器 (Capture Filters)
  基本捕获过滤器
  组合捕获过滤器
  
  2. 显示过滤器 (Display Filters)
  基本显示过滤器
  复杂显示过滤器
  协议特定显示过滤器
  
  3. 进阶显示过滤器技巧
  使用函数和操作符
  逻辑操作符
  
  4. 常见网络协议过滤表达式示例
  HTTP 协议
  HTTPS 协议
  DNS 协议
  DHCP 协议
  ARP 协议
  ICMP 协议
  SMTP 协议
  POP3 协议
  IMAP 协议
1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法，主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例：

基本捕获过滤器
- 捕获所有 TCP 包：
```
tcp
```
- 捕获特定 IP 地址的数据包：
```
host 192.168.1.1
```
- 捕获特定网络的数据包：
```
net 192.168.1.0/24
```
- 捕获特定端口的数据包：
```
port 80
```
- 捕获源地址为特定 IP 的数据包：
```
src host 192.168.1.1
```
- 捕获目标地址为特定 IP 的数据包：
```
dst host 192.168.1.1
```
组合捕获过滤器
- 捕获特定源地址且目标端口为 80 的数据包：
```
src host 192.168.1.1 and port 80
```
- 捕获特定源和目标地址的数据包：
```
src host 192.168.1.1 and dst host 192.168.1.2
```
- 捕获 TCP 和 UDP 包：
```
tcp or udp
```
2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包，语法更加灵活和强大。以下是一些常见的显示过滤器及其用法：

基本显示过滤器
- 过滤 TCP 包：
```
tcp
```
- 过滤 HTTP 请求：
```
http.request
```
- 过滤特定 IP 地址的源目地址：
```
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
```
- 过滤特定端口的 TCP 包：
```
tcp.port == 80
```
复杂显示过滤器
- 过滤特定 IP 地址且包含 HTTP 请求的数据包：
```
ip.src == 192.168.1.1 && http.request
```
- 过滤 TCP 三次握手的数据包：
```
tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0
```
- 过滤特定子网内的所有 ICMP 包：
```
icmp && ip.src == 192.168.1.0/24
```
- 过滤 HTTP POST 请求中包含特定字符串的数据包：
```
http.request.method == "POST" && frame contains "search_string"
```
- 过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包：
```
ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
```
协议特定显示过滤器
- 过滤 DHCP 请求：
```
bootp.type == 1
```
- 过滤 DNS 响应：
```
dns.flags.response == 1
```
- 过滤 ARP 请求：
```
arp.opcode == 1
```
- 过滤 TLS（前身为 SSL）握手包：
```
tls.handshake.type == 1
```
3. 进阶显示过滤器技巧

使用函数和操作符
- 包含特定字符串的包：
```
frame contains "example.com"
```
- 过滤特定字节序列：
```
data.data contains 0A:0B:0C:0D
```
- 过滤特定时间范围内的包：
```
frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"
```
逻辑操作符
- 逻辑 AND：
```
tcp && ip.src == 192.168.1.1
```
- 逻辑 OR：
```
http || dns
```
- 逻辑 NOT：
```
!arp
```
4. 常见网络协议过滤表达式示例

HTTP 协议
- 过滤所有 HTTP 请求：
```
http.request
```
- 过滤所有 HTTP 响应：
```
http.response
```
- 过滤特定 URL 的 HTTP 请求：
```
http.request.uri contains "login"
```
- 分析特定网站的 HTTP 流量：
```
http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
```
  此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。
HTTPS 协议
- 过滤 HTTPS 流量（基于端口）：
```
tcp.port == 443
```
DNS 协议
- 过滤所有 DNS 查询：
```
dns.flags.response == 0
```
- 过滤所有 DNS 响应：
```
dns.flags.response == 1
```
DHCP 协议
- 过滤所有 DHCP 请求：
```
bootp.type == 1
```
- 过滤所有 DHCP 响应：
```
bootp.type == 2
```
ARP 协议
- 过滤所有 ARP 请求：
```
arp.opcode == 1
```
- 过滤所有 ARP 响应：
```
arp.opcode == 2
```
ICMP 协议
- 过滤所有 ICMP 请求（Echo Request）：
```
icmp.type == 8
```
- 过滤所有 ICMP 响应（Echo Reply）：
```
icmp.type == 0
```
- 调试网络中的 ICMP 流量：
```
icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
```
  此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。
SMTP 协议
- 过滤所有 SMTP 流量：
```
tcp.port == 25
```
POP3 协议
- 过滤所有 POP3 流量：
```
tcp.port == 110
```
IMAP 协议
- 过滤所有 IMAP 流量：
```
tcp.port == 143
```
相关阅读:
使用C#编写一个读取和判断股票实时成交数据的小工具
 axios使用
 在PHP项目中使用阿里云消息队列MQ集成RabbitMQ的完整指南与问题解决
 算法学习笔记(24): 狄利克雷卷积和莫比乌斯反演
 关于 vue2.x 的 $attrs 和 $listeners
服务器安全怎么保障，主机安全软件提供一站式保护
 JS遍历对象的七种方法
 vs 2022无法安装 vc_runtimeMinmum_x86错误
 阿里P8资深架构师耗时半年整理21年Java工程师成神之路
 恒运资本：煤炭、石油板块拉升，安泰集团一度涨停，中曼石油等走高
原文地址：https://blog.csdn.net/qq_62311779/article/details/139814878

目录

1. 捕获过滤器 (Capture Filters)

基本捕获过滤器

组合捕获过滤器

2. 显示过滤器 (Display Filters)

基本显示过滤器

复杂显示过滤器

协议特定显示过滤器

3. 进阶显示过滤器技巧

使用函数和操作符

逻辑操作符

4. 常见网络协议过滤表达式示例

HTTP 协议

HTTPS 协议

DNS 协议

DHCP 协议

ARP 协议

ICMP 协议

SMTP 协议

POP3 协议

IMAP 协议