Wireshark显示过滤规则实验

Wireshark 过滤规则实验 Wireshark 是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为 用户提供关于网络和上层协议的各种信息。 与很多其他网络工具一样，Wireshark 也使用pcap network library 来进行封包捕捉。 Wireshark 的优势： - 安装方便。 - 简单易用的界面。 - 提供丰富的功能。 Wireshark 的原名是Ethereal，新名字是2006 年起用的。当时Ethereal 的主要开发者决定 离开他原来供职的公司，并继续开发这个软件。但由于Ethereal 这个名称的使用权已经被原 来那个公司注册，Wireshark 这个新名字也就应运而生了。 显示过滤器的使用 1. 过滤 IP，如来源 IP 或者目标 IP 等于某个 IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源 IP 和目标 IP ip.addr == 192.168.1.107// 都能显示来源 IP 和目标 IP 实验：1、设置显示目的IP 为本机IP 的过滤语法并截图，替换样图 2、设置显示源IP 为本机IP 并且目的IP 为邻居IP 的过滤语法并截图： 2、端口过滤 tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 21 // 只显 tcp 协议的目标端口 21 tcp.srcport == 21 // 只显 tcp 协议的来源端口 21 udp.port eq 15000 过滤端口范围 tcp.port = 1 and tcp.port = 80 实验：1、设置显示源端口号为 80 的过滤语法并截图 2、设置显示目的端口号范围为 1-1023 的过滤语法并截图 3. 过滤 MAC 以太网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标 mac eth.src eq A0:00:00:04:C5:84 // 过滤来源 mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84 的 实验：1、确定本机 MAC 地址为 2、设置显示源 MAC 为本机 MAC 并且目的 MAC 为邻居 MAC 的过滤语法并截图 提示，需要在显示栏中将 MAC 地址显示出来，与显示源端口和目的端口一样的操作。 4. 包长度过滤 less than 小于 = 7 指的是 ip 数据包(tcp 下面那块数据),不包括 tcp 本身 ip.len == 94 除了以太网头固定长度 14,其它都算是 ip.len,即从 ip 本身到最后 frame.len == 119 整个数据包长度,从 eth 开始到最后 实验：1、设置tcp 包长度大于等于ge 20 并且小于等于le 40 的过滤语法并截图（将包长度 栏显示出来，和源端口与目的端口显示一样） 2、设置ip 长度大于20 并且小于等于le 40 的过滤语法并截图（将包长度栏显示出来） 3、设置帧大于等于60 并且小于等于le 100 的过滤语法并截图（将包长度栏显示出来） 4、包长度栏显示的长度表示的是（ ）长度 A 链路帧 B IP 包 C TCP/UDP 分组 D 应用层数据 5、设置 ip 包的生存时间大于 100 并且小于 200 并且为 DNS 协议类型的过滤语法并截图 6、设置显示 icmp 的 ping 请求包并且源 IP 为邻居 IP 的过滤语法并截图 5. http 模式过滤 例子: http.request. == “GET“ http.request. == “POST“ http.request.uri == “/img/logo-edu.gif“ http contains “GET“ http contains “HTTP/1.“ // GET 包 http.request. == “GET“ && http contains “Host: “ http.request. == “GET“ && http contains “User-Agent: “ // POST 包 http.request. == “POST“ && http contains “Host: “ http.request. == “POST“ && http contains “User-Agent: “ // 响应包 http contains “HTTP/1.1 200 OK“ && http contains “Content-Type: “ http contains “HTTP/1.0 200 OK“ && http contains “Content-Type: “ 一定包含如下 Content-Type: 实验：1、设置显示HTTP 协议的GET 包的过滤语法并截图 2、设置显示HTTP 协议的POST 包的过滤语法并截图 6. TCP 参数过滤 tcp.flags 显示包含 TCP 标志的封包。 tcp.flags.syn == 0 x02 显示包含 TCP SYN 标志的封包。 tcp.window_size == 0 && tcp.flags.reset != 1 实验：设置tcp 标识位的过滤语法并截取tcp 三次握手的图 截图并说明过滤语法是什么