目录
协议筛选
根据通讯协议进行筛选数据包,例如http协议、dns协议等等。常用协议有下:
udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip
IP地址过滤
ip.addr==192.168.1.114 //筛选出源IP或者目的IP地址是192.168.1.114的全部数据包。
ip.src==192.168.1.114 //筛选出源IP地址是182.254.110.91的数据包
ip.dst==192.168.1.114 //筛选出目的地址是192.168.1.114的数据包。
端口过滤
tcp.port==80 //根据TCP端口筛选数据包,包括源端口或者目的端口
tcp.dstport==80 //根据目的TCP端口筛选数据包。
tcp.srcport==80 //根据源TCP端口筛选数据包。
udp.port==4010 //根据UDP端口筛选数据包,包括源端口或者目的端口
udp.srcport==4010 //根据源UDP端口筛选数据包。
udp.dstport==4010 //根据目的UDP端口筛选数据包。
包长度过滤:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
MAC地址过滤
eth.addr==31:rf:e7:c7:41:c4 //筛选出源MAC地址或者目的MAC地址使用的是 31:rf:e7:c7:41:c4的全部数据包。
eth.src==31:rf:e7:c7:41:c4 //筛选出源MAC地址是31:rf:e7:c7:41:c4的数据包
eth.dst==31:rf:e7:c7:41:c4 //筛选出目的MAC地址是31:rf:e7:c7:41:c4的数据包。
http协议过滤命令:
1、过滤http请求方法 http.request.method == GET
2、过滤http响应状态码 http.response.code == 200
3、过滤出请求地址中包含“user”的请求 http.request.uri contains User
4、过滤域名 http.host == www.baidu.com
模糊过滤域名 http.host contains baidu
5、过滤请求的content_type类型 http.content_type == 'text/html'
6、响应包包含某头字段 http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
7、过滤含有指定cookie的http数据包 http.cookie contains userid
逻辑条件组合筛选
逻辑表达式汇总:
|| //逻辑或
&& //逻辑与
! //逻辑非
1、逻辑与筛选方法
命令:ip.src==192.168.1.114&&ip.dst==180.114.144.101
或
(ip.src==192.168.1.114)&&(ip.dst==121.114.244.119)
含义:筛选出源ip地址是192.168.1.114并且目的地址是180.114.144.101的数据包。
2、逻辑或筛选
命令:ip.src==192.168.1.114||ip.src==182.254.110.91
含义:筛选出源IP地址是192.168.1.114或者源ip地址是182.254.110.91的数据包
3、逻辑非筛选
命令:!(ip.addr==192.168.1.114)
含义:筛选出不是192.168.1.114的数据包。