教些基础给需要的朋友~~:
使用wireshark进行网络分析,抓到的数据包多数需要筛选一下,一般百度能得到许多,我总结一些:
ip.addr==ip地址 源或目的IP符合的都会过滤出来。
ip.src==ip地址 源IP为***的可以过滤出来。
ip.dst==ip地址 目的IP为***的可以过滤出来。
对于http包的过滤:
http.request.uri==”/img/logo.gif” 过滤请求url,url里去掉域名。
http.accept_encoding==”gzip, deflate”
gzip和deflate中间有个空格,多个过滤元素的话用引号框住。
http contains “image” http包中包含 imgge字段的都会被过滤出来。
http.request.uri matches “vipabc” (匹配http请求中含有vipabc字段的请求信息)
http contains “image” && http.request.uri==”/task/image/test.gif”
wireshark支持and,大于等于等各种用法,可以多尝试看看。
ip.addr==192.168.1.1/27 过滤IP段
tcp.srcport==80 过滤tcp源端口为80
过滤get包,http.request.method==”GET”,过滤post包,http.request.method==”POST”;
上述都是简单的过滤方法,百度搜索也能搜索到,但是初学者总会疲于应对这么多需要记忆的内容,进而产生疲惫厌倦感,然后就放弃了。。。
有没有简单的方式不需要记忆这么多东西呢???
有!那就是不用去记,用多了就熟练了;如下教给初学者简单的方式:
选择某一条(如截图里的4),观察各层的信息,查找自己想要的信息,如果找到,直接右键–作为过滤器–选中;然后wireshark就自然的填好过滤命令了,完全不需要记忆,如下为查找一个http请求的源IP,对于其他的筛选条件,可以用一样方式找到,多训练几次让自己熟练吧~~
禁止分片的报文过滤:
纯粹的小技巧,也许许多朋友都在其他网页看过了,但是实际动手操作一下吧!不要嫌弃太简单的方法,最基础永远都不会过时~。
每天一点小知识,欢迎关注、收藏、订阅、评论~~
暂无评论内容