Wireshark(前稱(chēng)Ethereal)是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口,直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

 下面介紹下WireShark常用的過(guò)濾語(yǔ)法,也就是wireshark過(guò)濾規(guī)則

 1.過(guò) 濾IP,如來(lái)源IP或者目標(biāo)IP等于某個(gè)IP

 例子:

 ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

 或者

 ip.addr eq 192.168.1.107 // 都能顯示來(lái)源IP和目標(biāo)IP

 2.過(guò)濾端 口

 例子:

 tcp.port eq 80 // 不管端口是來(lái)源的還是目標(biāo)的都顯示

 tcp.port == 80

 tcp.port eq 2722

 tcp.port eq 80 or udp.port eq 80

 tcp.dstport == 80 // 只顯tcp協(xié)議的目標(biāo)端口80

 tcp.srcport == 80 // 只顯tcp協(xié)議的來(lái)源端口80

 udp.port eq 15000

 過(guò)濾端口范圍

 tcp.port >= 1 and tcp.port <= 80

 3.過(guò) 濾協(xié)議

 例子:

 tcp

 udp

 arp

 icmp

 http

 smtp

 ftp

 dns

 msnms

 ip

 ssl

 oicq

 bootp

 等 等

 排除arp包,如!arp 或者 not arp

 4.過(guò) 濾MAC

 太以網(wǎng)頭過(guò)濾

 eth.dst == A0:00:00:04:C5:84 //過(guò)濾目 標(biāo)mac

 eth.src eq A0:00:00:04:C5:84 //過(guò) 濾來(lái)源mac

 eth.dst==A0:00:00:04:C5:84

 eth.dst==A0-00-00-04-C5-84

 eth.addr eq A0:00:00:04:C5:84 //過(guò)濾來(lái) 源MAC和目標(biāo)MAC都等于A0:00:00:04:C5:84的

 less than 小于 < lt

 小于等于 le

 等 于 eq

 大于 gt

 大于等于 ge

 不等 ne

 5.包長(zhǎng)度過(guò) 濾

 例子:

 udp.length == 26 這個(gè)長(zhǎng)度是指udp本身固定長(zhǎng)度8加上udp下面那塊數(shù)據(jù)包之和

 tcp.len >= 7 指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身

 ip.len == 94 除了以太網(wǎng)頭固定長(zhǎng)度14,其它都算是ip.len,即從ip本身到最后

 frame.len == 119 整個(gè)數(shù)據(jù)包長(zhǎng)度,從eth開(kāi)始到最后

 eth ---> ip or arp ---> tcp or udp ---> da

 ta

 6.http 模式過(guò)濾

 例子:

 http.request.method == "GET"

 http.request.method == "POST"

 http.request.uri == "/img/logo-edu.gif"

 http contains "GET"

 http contains "HTTP/1."

 // GET包

 http.request.method == "GET" && http contains "Host: "

 http.request.method == "GET" && http contains "User-Agent: "

 // POST包

 http.request.method == "POST" && http contains "Host: "

 http.request.method == "POST" && http contains "User-Agent: "

 // 響應(yīng)包

 http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "

 http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "

 一 定包含如下

 Content-Type:

 7.TCP參數(shù)過(guò) 濾

 tcp.flags 顯示包含TCP標(biāo)志的封包。

 tcp.flags.syn == 0x02 顯示包含TCP SYN標(biāo)志的封包。

 tcp.window_size == 0 && tcp.flags.reset != 1

 8.過(guò)濾內(nèi)容

 tcp[20] 表示從20開(kāi)始,取1個(gè)字符

 tcp[20:]表示從20開(kāi)始,取1個(gè)字符以上

 tcp[20:8]表示從20開(kāi)始,取8個(gè)字符

 tcp[offset,n]

 udp[8:3]==81:60:03 // 偏移8個(gè)bytes,再取3個(gè)數(shù),是否與==后面的數(shù)據(jù)相等?

 udp[8:1]==32 如果我猜的沒(méi)有錯(cuò)的話,應(yīng)該是udp[offset:截取個(gè)數(shù)]=nValue

 eth.addr[0:3]==00:06:5B

 例 子:

 判斷upd下面那塊數(shù)據(jù)包前三個(gè)是否等于0x20 0x21 0x22

 我們都知道udp固定長(zhǎng)度為8

 udp[8:3]==20:21:22

 判 斷tcp那塊數(shù)據(jù)包前三個(gè)是否等于0x20 0x21 0x22

 tcp一般情況下,長(zhǎng)度為20,但也有不是20的時(shí)候

 tcp[8:3]==20:21:22

 如 果想得到最準(zhǔn)確的,應(yīng)該先知道tcp長(zhǎng)度

 matches(匹配)和contains(包含某字符串)語(yǔ)法

 ip.src==192.168.1.107 and udp[8:5] matches "\\x02\\x12\\x21\\x00\\x22"

 ip.src==192.168.1.107 and udp contains 02:12:21:00:22

 ip.src==192.168.1.107 and tcp contains "GET"

 udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP數(shù)據(jù)包,不一定是從第一字節(jié)匹配。

 例子:

 得到本地qq登陸數(shù)據(jù)包(判斷條 件是第一個(gè)包==0x02,第四和第五個(gè)包等于0x00x22,最后一個(gè)包等于0x03)

 0x02 xx xx 0x00 0x22 ... 0x03

 正確

 oicq and udp[8:] matches "^\\x02[\\x00-\\xff][\\x00-\\xff]\\x00\\x22[\\x00-\\xff]+\\x03$"

 oicq and udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" // 登陸包

 oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$" or tcp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$")

 oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" or tcp[20:] matches "^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$")

 不 單單是00:22才有QQ號(hào)碼,其它的包也有,要滿足下面條件(tcp也有,但沒(méi)有做):

 oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[11:2]==00:80)

 oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and !(udp[11:2]==00:00) and !(udp[15:4]==00:00:00:00)

 說(shuō)明:

 udp[15:4]==00:00:00:00 表示QQ號(hào)碼為空

 udp[11:2]==00:00 表示命令編號(hào)為00:00

 udp[11:2]==00:80 表示命令編號(hào)為00:80

 當(dāng)命令編號(hào)為00:80時(shí),QQ號(hào)碼為 00:00:00:00

 得到msn登陸成功賬號(hào)(判斷條件是"USR 7 OK ",即前三個(gè)等于USR,再通過(guò)兩個(gè)0x20,就到OK,OK后面是一個(gè)字符0x20,后面就是mail了)

 USR xx OK mail@hotmail.com

 正確

 msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches "^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+"

 9.dns 模式過(guò)濾

 10.DHCP

 以 尋找偽造DHCP服務(wù)器為例,介紹Wireshark的用法。在顯 示過(guò)濾器中加入過(guò) 濾規(guī)則,

 顯示所有非來(lái)自DHCP服務(wù)器并且bootp.type==0x02(Offer/Ack)的信息:

 bootp.type==0x02 and not ip.src==192.168.1.1

 11.msn

 msnms && tcp[23:1] == 20 // 第四個(gè)是0x20的msn數(shù)據(jù)包

 msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] > = 41 && tcp[22:1] <= 5A

 msnms && tcp[20:3]=="USR" // 找到命令編碼是USR的數(shù)據(jù)包

 msnms && tcp[20:3]=="MSG" // 找到命令編碼是MSG的數(shù)據(jù)包

 tcp.port == 1863 || tcp.port == 80

 如何判斷數(shù)據(jù)包是含 有命令編碼的MSN數(shù)據(jù)包?

 1)端口為1863或者80,如:tcp.port == 1863 || tcp.port == 80

 2) 數(shù)據(jù)這段前三個(gè)是大寫(xiě)字母,如:

 tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A

 3)第四個(gè)為0x20,如:tcp[23:1] == 20

 4)msn是屬于TCP協(xié)議的,如 tcp

 以上就是wireshark過(guò)濾規(guī)則的常用語(yǔ)法了。