Wireshark過濾總結

本文轉載自查看原文 2017-08-28 14:40 3759 Other

Wireshark提供了兩種過濾器：
捕獲過濾器：在抓包之前就設定好過濾條件，然后只抓取符合條件的數據包。
顯示過濾器：在已捕獲的數據包集合中設置過濾條件，隱藏不想顯示的數據包，只顯示符合條件的數據包。
需要注意的是，這兩種過濾器所使用的語法是完全不同的，想想也知道，捕捉網卡數據的其實並不是Wireshark,而是WinPcap,當然要按WinPcap的規則來，顯示過濾器就是Wireshark對已捕捉的數據進行篩選。

使用捕獲過濾器的主要原因就是性能。如果你知道並不需要分析某個類型的流量，那么可以簡單地使用捕獲過濾器過濾掉它，從而節省那些會被用來捕獲這些數據包的處理器資源。當處理大量數據的時候，使用捕獲過濾器是相當好用的。
新版Wireshark的初始界面非常簡潔，主要就提供了兩項功能：先設置捕獲過濾器，然后再選擇負責抓包的網卡。由此可見捕獲過濾器的重要性。

Wireshark攔截通過網卡訪問的所有數據，沒有設置任何代理

Wireshark不能攔截本地回環訪問的請求，即127.0.0.1或者localhost

顯示過濾器：

下面是Wireshark中對http請求的攔截，注意不包含https

http.request.uri contains "product"

鏈接地址中包含product的請求，不算域名

http.host==shanghai.rongzi.com

過濾域名

http.host contains rongzi.com

更模糊的過濾，可以有多個二級域名

http.content_type =="text/html"

content_type類型過濾

http.request.uri=="/product/"

完整地址過濾，有參數的話就不合適這樣過濾

http.request.method=="GET"

tcp.port==80

http && tcp.port==8613 or tcp.port==8090 or tcp.port==8091

ip.dst==42.159.245.203

搜集：

http.host==magentonotes.com
http.host contains magentonotes.com
//過濾經過指定域名的http數據包，這里的host值不一定是請求中的域名

http.response.code==302
//過濾http響應狀態碼為302的數據包

http.response==1
//過濾所有的http響應包

http.request==1
//過濾所有的http請求，貌似也可以使用http.request

http.request.method==POST
//wireshark過濾所有請求方式為POST的http請求包，注意POST為大寫

http.cookie contains guid
//過濾含有指定cookie的http數據包

http.request.uri==”/online/setpoint”
//過濾請求的uri，取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
//過濾含域名的整個url則需要使用http.request.full_uri

http.server contains “nginx”
//過濾http頭中server字段含有nginx字符的數據包

http.content_type == “text/html”
//過濾content_type是text/html的http響應、post包，即根據文件類型過濾http數據包

http.content_encoding == “gzip”
//過濾content_encoding是gzip的http包

http.transfer_encoding == “chunked”
//根據transfer_encoding過濾

http.content_length == 279
http.content_length_header == “279″
//根據content_length的數值過濾

http.server
//過濾所有含有http頭中含有server字段的數據包

http.request.version == “HTTP/1.1″
//過濾HTTP/1.1版本的http包，包括請求和響應

http.response.phrase == “OK”
//過濾http響應中的phrase