显示过滤器

显示过滤器大致分类

1、配置Ethernet、ARP、主机和网络过滤器

2、配置TCP/UDP过滤器

3、配置协议独有的显示过滤器

4、配置字节偏移型过滤器

5、配置显示过滤器宏

 

Ethernet显示过滤器

Eth.addr == <MAC address> 只显示具有指定MAC地址的数据帧

Eth.src == <MAC address> 只显示具有指定源MAC地址的数据帧

Eth.dst == <MAC address> 只显示具有指定目的MAC地址的数据帧

Eth.type == <Protocol Type> 只显示指定以太网类型的流量

 

 

Arp Ip 显示过滤器

arp.opcode == <value> 只显示指定类型的ARP帧 1是请求帧 2是应答帧

arp.src.hw_mac == <MAC address> 只显示由指定MAC地址发出的ARP帧



ip.addr == <Ip address> 只显示发往或源自设有指定IP地址的主机数据包

ip.src == <Ip address> 只显示源自指定IP地址的数据包

ip.dst == <Ip address> 只显示发往指定IP地址的数据包

ip.ttl == <value> 只显示IP报头中TTL字段为指定值的数据包

ip.len == <value> 只显示指定长度的数据包

ip.version == <4/6> 只显示特定版本号的数据包

 

TCP/UDP显示过滤器

tcp.dstport == 80 只显示目标端口是80的所有流量

ip.src == 10.0.0.0/24 && tcp.dstport == 80  只显示特定源的HTTP流量

tcp.stream eq 16 && tcp.analysis.retransmission 只显示某条特定连接16中发生重传的所有TCP数据包

tcp.stream eq 0 && (tcp.analysis.window_full || tcp.analysis.zero_windown) 只显示某条特定连接0中窗口出现问题的TCP数据包

ip.src == 10.0.0.5 && udp.port == 53 只显示源IP10.0.0.5访问DNS的流量

tcp contains "windows"  只显示包含制定字符串(区分大小写)的TCP包

ip.src == 10.0.0.5 && tcp.analysis.retransmission 显示10.0.0.5主机的所有重传包

ip.src == 10.0.0.5 && tcp.flags.syn ==1 && tcp.flags.ack == 0 只显示10.0.0.5 主机建立连接时生成的所有数据包 (TCP扫描) 

tcp.flags.reset == 1 && tcp.flags.seq ==1 表示握手请求被对方拒绝了

tcp.flags.syn ==1 && tcp.analysis.restransmission 过滤syn重传的数据包

 

协议独有的显示过滤器 HTTP

http.host == <hostname> 只显示访问某特定主机名的http数据包

http.request.method == "GET"  http中的get请求

http.request.uri == "fuck86.com" 只显示http客户端发起的包含特定URI请求的http协议的数据包

http.request.uri contains "fuck86.com" 只显示http客户端发起的包含指定字符串的URI请求的http数据包

http.cookie 只显示包含cookie请求的http数据包 客户端发往服务器

http.set_cookie http服务器发往客户端的set_cookie

http matches "\.zip" && http.request.method == "GET" 包含zip文件的get请求数据包

 

协议独有的显示过滤器 DNS

dsn.flags.response == 0 DNS 查询

dns.flags.response == 1 DNS 响应

dns.count.answers >=4 只显示  answer count字段大于或等于4的DNS响应数据包

 

字节偏移型过滤器

protocols[x:y] == <value>

x:指明了显示过滤器检查协议头部的位置 一般是偏移多少个字节

y:则表明显示过滤器所要检查的字节数

 

eth.dst[0:3] == 01.00.5e 只显示IPV4组播数据包

eth.dst[0:2] == 33.33.00 只显示IPV6组播数据包

本博客所有文章如无特别注明均为原创。作者:odaycaogen复制或转载请以超链接形式注明转自 123``blog
原文地址《显示过滤器

相关推荐

发表评论

路人甲 表情
Ctrl+Enter快速提交

网友评论(1)

写的不错
知识共享网 2个月前(05-06) 回复