A. 抓包wireshark獲取的怎麼都是qq伺服器mac
: wireshark只能截獲本機或通過本機監聽網卡的數據包,用過濾器篩選出發往騰訊的包…剩下就自己找了
B. wireshark 怎麼設置過濾規則
方法復/步驟
1過濾制源ip、目的ip。在wireshark的過濾規則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包,ip.dst==192.168.101.8;查找源地址為ip.src==1.1.1.1;
2埠過濾。如過濾80埠,在Filter中輸入,tcp.port==80,這條規則是把源埠和目的埠為80的都過濾出來。使用tcp.dstport==80隻過濾目的埠為80的,tcp.srcport==80隻過濾源埠為80的包;
3協議過濾比較簡單,直接在Filter框中直接輸入協議名即可,如過濾HTTP的協議;
4
http模式過濾。如過濾get包,http.request.method=="GET",過濾post包,http.request.method=="POST";
5
連接符and的使用。過濾兩種條件時,使用and連接,如過濾ip為192.168.101.8並且為http協議的,ip.src==192.168.101.8
and http。
C. wireshark 抓包怎麼過濾多mac地址
啟動wireshark,選擇網卡,開始抓包 在過濾裡面輸入oicq 就把QQ的包都過濾出來了 按照源和回目的地址的區分答,可以且僅可以分析出你抓包對象的QQ號碼 QQ現在使用密文發送,抓不出來聊天的內容了
D. 十萬火急,wireshark ip過濾規則和埠過濾規則。著急用啊
1.過濾IP,如來源IP或者目標IP等於某個IP
例子:
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者
ip.addr eq 192.168.1.107 // 都能顯示來源IP和目標IP
linux上運行的wireshark圖形窗口截圖示例,其他過慮規則操作類似,不再截圖。
ip.src eq 10.175.168.182
2.過濾埠
例子:
tcp.port eq 80 // 不管埠是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的來源埠80
udp.port eq 15000
過濾埠范圍
tcp.port >= 1 and tcp.port <= 80
E. wireshark要設置什麼規則才能只顯示三次握手協議中的RST包過濾規則該怎麼寫
過濾RST報文:tcp.flags.reset == 1
RST不屬於三次握手,這個涉及到狀態轉移,不知道支不支持
F. wireshark 可以過濾mac嗎
http://jingyan..com/article/4b52d702af64aefc5c774be0.html
G. wireshark過濾規則
ip.src==192.168.1.99 && ip.dst==192.168.1.96 && (tcp,port==80 || udp.port==80) 大致這樣,如果你需要是哪個傻瓜式的分析軟體,可以試試QPA,他是基內於進程抓包的,並且篩選功容能很傻瓜,直接輸入關鍵字即可
H. wareshark 怎麼用mac過濾
首先我們在wireshark抓到數據包的前提下,在Filter處講解基於乙太網數據頭的MAC進行過濾的表達式寫法。首先介紹命令:eth.addr eq e0:db:55:8e:8d:dd。查詢出來乙太網頭數據內源MAC以及目的MAC為e0:db:55:8e:8d:dd的數據包。
介紹過濾表達式:eth.src eq e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內源MAC為e0:db:55:8e:8d:dd的數據包。
介紹表達式:eth.dst eq e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內目的MAC為e0:db:55:8e:8d:dd的數據包。
介紹表達式:eth.addr lt e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內源MAC以及目的MAC小於e0:db:55:8e:8d:dd的數據包。
備註:在表達式處寫法支持:等於--寫法為 eq 或者==;
小於--寫法為 lt ;
大於--寫法為 gt ;
小於或等於--寫法為 le;
大於或者等於--寫法為 ge;
不等 ---寫法為 ne;
本篇實例採用了lt表示小於。
下面我們介紹居於數據包的長度進行過濾。首先介紹表達式:udp.length ==95,表示查詢出來udp協議的數據包,且數據包長度為95的數據包。
備註:此處udp數據包長度+ip頭部長度(20)+乙太網頭部(14)=整體數據包的長度。
介紹表達式:tcp.len >= 29,代表查詢出來tcp協議的數據包,且包長度大於等於29的數據包。
備註:此處tcp數據包長度+tcp頭部(20)+ip頭部(20)+乙太網頭部(14)=整體數據包長度。
介紹表達式:ip.len eq 41。表示查詢ip數據包,且包長度為41的數據包。
備注:此處ip數據包長度+乙太網頭(14)=整體數據包長度。
介紹表達式:frame.len eq 55。表示查詢出來整體包長度為55的數據包。
整體介紹包長度表達式中間eq還可換成lt(小於),le(小於等於),gt(大於),ge(大於等於),ne(不等於)。
I. wireshark 如何寫過濾規則
一、IP過濾:包括來源IP或者目標IP等於某個IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP
二、埠過濾:
比如:tcp.port eq 80 // 不管埠是來源的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的來源埠80
過濾埠范圍
tcp.port >= 1 and tcp.port <= 80
三、協議過濾:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包長度過濾:
比如:
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和
tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個數據包長度,從eth開始到最後
五、http模式過濾:
例子:
http.request.method == 「GET」
http.request.method == 「POST」
http.request.uri == 「/img/logo-e.gif」
http contains 「GET」
http contains 「HTTP/1.」
// GET包
http.request.method == 「GET」 && http contains 「Host: 」
http.request.method == 「GET」 && http contains 「User-Agent: 」
// POST包
http.request.method == 「POST」 && http contains 「Host: 」
http.request.method == 「POST」 && http contains 「User-Agent: 」
// 響應包
http contains 「HTTP/1.1 200 OK」 && http contains 「Content-Type: 」
http contains 「HTTP/1.0 200 OK」 && http contains 「Content-Type: 」
一定包含如下
Content-Type:
六、連接符 and / or
七、表達式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)