wireshark 捕获过滤器入门进阶

捕获过滤器进阶

• 一、wireshark捕获过滤器简介
• 二、捕获过滤器常用10条讲解附实例
• 三、著名的漏洞流量抓取
• 四、捕获过滤器面试中常问的问题

相关文章推荐：
5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解

一、wireshark捕获过滤器简介

• wireshark与使用libcap/winpacp支持的其他抓包程序有相同的捕获筛选器语法，如tcpdump、windump、 analyzer 等抓包工具
• 捕获过滤器不是显示过滤器，这个一定要区分清楚，两个语法不同，捕获过滤器局限性很大，但是可以减少原始数据包的大小，显示过滤器则是隐藏数据包列表的某些数据包
• 在主窗口中，可以在接口列表上方和接口对话框中找到捕获过滤器。可以在数据包列表上方更改显示过滤器，如图所示
  

二、捕获过滤器常用10条讲解附实例

1.仅抓取和ip地址36.152.44.96（百度的地址）之间的通信

host  36.152.44.96

2.捕获一段ip地址的数据包

net 192.168.0.0/24
或者
net 192.168.0.0 mask 255.255.255.0

3.捕获指定目标地址或者源地址的数据包

# src 表示源
# dst 表示目标
dst host  36.152.44.96 
#捕获目标是36.152.44.96 的数据包
src net 192.168.0.0/24
#捕获源是192.168.0.0/24段 的数据包

== 注意==：1和2 介绍的都可以在前面加上src和dst，指定源和目标。

4.仅捕获53（DNS使用53端口）流量

port 53
# 捕获dns数据包

5.捕获端口范围内的流量

(tcp[0:2] > 79 and tcp[0:2] < 81) or (tcp[2:2] > 22200 and tcp[2:2] < 122210)

6.抓取以太网的EAPOL的数据包

ether proto 0x888e

7.拒绝以太网帧进去“链路层返现协议多播”

not ether dst 01:80:c2:00:00:0e

8.不捕获组播包也不捕获广播包
not broadcast and not multicast
9.捕获IPV6所有节点流量

dst host ff02::1

10.捕获HTTP GET请求，

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

#This looks for the bytes 'G', 'E', 'T', and ' ' (hex values 47, 45, 54, and 20) just
 after the TCP header. "tcp[12:1] & 0xf0) >> 2" figures out the TCP header length.

11.抓包

三、著名的漏洞流量抓取

1. Blaster worm:

dst port 135 and tcp port 135 and ip[2:2]==48

2. Welchia worm:

icmp[icmptype]==icmp-echo and ip[2:2]==92 and icmp[8:4]==0xAAAAAAAA

查找长度为92字节的icmp回显请求，并具有以4个字节的A（十六进制）开头的icmp有效负载。它是welchia蠕虫试图破坏系统之前的特征。
许多蠕虫尝试通过与端口135、445或1433上的其他主机联系来进行传播。此筛选器与特定的蠕虫无关，而是查找来自那些特定端口上本地网络的SYN数据包。请更改网络过滤器以反映您自己的网络。

dst port 135 or dst port 445 or dst port 1433  and tcp[tcpflags] & (tcp-syn) != 0 andtcp[tcpflags] & (tcp-ack) = 0 and src net 192.168.0.0/24

3. Heartbleed Exploit:

tcp src port 443 and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4] = 0x18) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 1] = 0x03) and (tcp[((tcp[12] & 0xF0) >> 4 ) * 4 + 2] < 0x04) and ((ip[2:2] - 4 * (ip[0] & 0x0F)  - 4 * ((tcp[12] & 0xF0) >> 4) > 69))

四、捕获过滤器面试中常问的问题

1. 怎么设置 只捕获SIP和RTP过滤器

捕获进出该端口的TCP和UDP流量(如果其中一个过滤器获得“解析错误”，请尝试使用5060而不是sip)。对于进出其他端口的SIP流量，使用该端口号而不是SIP。
在大多数情况下，RTP端口号是动态分配的。您可以使用以下内容，这些内容将捕获限制为UDP、源和目标端口、有效的RTP版本和小数据包。它将捕获与过滤器匹配的任何非RTP流量(例如DNS)，但是它将捕获许多环境中的所有RTP数据包。

udp[1] & 1 != 1 && udp[3] & 1 != 1 && udp[8] & 0x80 == 0x80 && length < 250

2. 捕获没有WLAN标记的流量

link[0] != 0x80

3. 捕获I192.168. x.x范围内所有的原始流量

src net 192.168

4. 捕获PPPOE流量

pppoes
pppoes and (host 192.168.0.0 and port 80)

5. 捕获vlan流量

vlan
vlan and (host 192.168.0.0 and port 80)