Wireshark 过滤规则

ox10 IP过滤

查找目的地址为192.168.101.8的包:

ip.dst==192.168.101.8

查找源地址为

ip.src==1.1.1.1

0x20 端口过滤

过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包。

0x21 过滤端口范围

如过滤端口从1到80:

tcp.port >= 1 and tcp.port <= 80

0x30 协议过滤

协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议直接输入http;过滤TCP直接输入TCP即可。

【常用协议】

1
tcp udp icmp http smtp ftp dns ssl arp ip #排除arp包,可以使用!arp

ox40 http模式过滤

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

1
2
3
4
5
6
7
8
9
10
11
12
13
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
#GET包
http.request.method == "GET" && http contains "Host:"
http.request.method == "GET" && http contains "User-Agent:"
#POST包
http.request.method == "POST" && http contains "Host:"
http.request.method == "POST" && http contains "User-Agent:"
#响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type:"
http contains "HTTP/1.0 200 OK" && http contains "Content-Type:"
#一定包含"Content-Type:"

0x50 连接符and

过滤两种条件时,使用and连接

【如过滤ip为192.168.101.8 并且为http协议】 ip.src==192.168.101.8 and http

【如过滤ip为178.16.11.5 并且为tcp协议】ip.src==178.16.11.5 and tcp

0x60 mac过滤

【过滤目标mac为 A0:00:00:04:C5:84】 eth.dst == A0:00:00:04:C5:84

【过滤来源mac为 A0:00:00:04:C5:84】eth.src eq A0:00:00:04:C5:84

【过滤来源MAC和目标MAC都等于 A0:00:00:04:C5:84】 eth.addr eq A0:00:00:04:C5:84

0x70 包长过滤

udp.length == 26 【 这个长度是指udp本身固定长度8加上udp下面那块数据包之和】

tcp.len >= 7 【 指的是ip数据包(tcp下面那块数据),不包括tcp本身】

ip.len == 94 【除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后】

0x80 TCP参数过滤

tcp.flags 【 显示包含TCP标志的封包】
tcp.flags.syn == 0x02 【 显示包含TCP SYN标志的封包】
tcp.window_size == 0 && tcp.flags.reset != 1

0x90 包内容过滤

tcp[20:8] 表示从20开始,取8个字符
故内容过滤规则如下

1
2
3
4
5
6
tcp[offset,n]
udp[8:3]==81:60:03 #偏移8个bytes,再取3个数,是否与==后面的数据相等
#如:判断udp下面哪块数据包的前三个是否等于 0x20 0x21 0x22
udp[8:3]==20:21:22 #udp固定长度为8,故以8为起点
#再如,判断TCP下三块数是否为 0x20 0x21 0x22
tcp[20:3]==20:21:22 #tcp通常情况下,长度为20,不是20的时候,我们需要先得到tcp长度

0x10 DHCP

注意:DHCP协议的检索规则不是dhcp/DHCP, 而是bootp

以寻找伪造DHCP服务器为例,介绍Wireshark的用法。在显示过滤器中加入过滤规则,

显示所有非来自DHCP服务器(IP:192.168.1.1)并且bootp.type==0x02(Offer/Ack/NAK)的信息:

1
bootp.type==0x02 and not ip.src==192.168.1.1

0x11 msn

1
2
3
4
5
6
7
8
9
10
msnms && tcp[20:3]=="USR" # 找到命令编码是USR的数据包
msnms && tcp[20:3]=="MSG" # 找到命令编码是MSG的数据包
#如何判断数据包是含有命令编码的MSN数据包?
/**
tcp.port == 1863 || tcp.port == 80 #端口为1863或者80
tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A #数据这段前三个是大写字母
tcp[23:1] == 20 #第四个为0x20
**/

msn 属于TCP协议 见

MSN Messenger 协议分析

MSN 协议分析

更详细的说明

0x00 字符串语法

wireshark字符串过虑语法字符

0x10 搜索条件过滤udp payload

搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])

1
2
3
4
udp[8]==14 # (14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包
udp[8:2]==14:05 可以udp[8:2]==1405 #且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。 (相当于 udp[8]==14 and udp[9]==05,1405是0x1405)
udp[8:3]==22:00:f7 #不可以udp[8:3]==2200f7
udp[8:4]==00:04:00:2a #匹配payload的前4个字节0x0004002a

而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

1
2
3
udp[8:4] matches "\\x14\\x05\\x07\\x18"
udp[8:] matches "^\\x14\\x05\\x07\\x18\\x14"

0x20 搜索条件过滤的tcp payload

搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])

1
2
3
4
5
6
7
8
9
tcp[20:] matches "^GET [ -~]*HTTP/1.1\\x0d\\x0a" #等同http matches ^GET [ -~]*HTTP/1.1\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: (.*?)pplive(.*?)\\x0d\\x0a"
tcp[20:] matches "^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host:"
tcp[20:] matches "^POST / HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*\\x0d\\x0aConnection: Keep-Alive\\x0d\\x0a\\x0d\\x0a"

检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。

1
tcp[24:4] == ff:53:4d:42

检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。

1
2
3
tcp contains ff:53:4d:42
tcp matches "\\xff\\x53\\x4d\\x42"

检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。

1
tcp matches "\\x01\\xbd"

检测MS08067的RPC请求路径

1
2
3
tcp[179:13] == 00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00
\ . . \ . .

0x30 end

http.request.uri matches ".gif$" 匹配过滤HTTP的请求URI中含有”.gif”字符串,并且以.gif结尾(4个字节)的http请求数据包($是正则表达式中的结尾表示符)

注意区别:http.request.uri contains ".gif$"与此不同,contains是包含字符串”.gif$”(5个字节)。匹配过滤HTTP的请求URI中含有”.gif$”字符串的http请求数据包(这里$是字符,不是结尾符)

eth.addr[0:3]==00:1e:4f搜索过滤MAC地址前3个字节是0x001e4f的数据包。

i春秋-Wireshark实战video

Comments

⬆︎TOP