wireshark常用过滤命令
wireshark常用过滤命令
- wireshark抓包介绍
- 单机单点:
- 单机多点:
- 双机并行:
- wireshark界面认识
- 默认布局
- 调整布局(常用)
- 显示FCS错误
- wireshark常见列
- Time
- 回包
- 数据报对应网络模型
- wireshark基本操作
- 结束抓包
- 再次开始抓包
- **wireshark常用过滤命令**
- 一、过滤协议
- 二、过滤IP
- 三、过滤端口
- 四、过滤方向
- 五、过滤http
- ①过滤http模式
- ②模糊匹配字符串
- 六、tcp stream过滤
- 七、过滤rst
- 常用示例:
- 分析DSCP值
wireshark抓包介绍
有99%的网络故障都是可以通过通用故障排除流程来解决的。
只有当常规手段无法查明网络故障时才抓包进行分析。
抓包分析也不是万能的,无法看出网络拓扑是怎样的,路由是怎样走的,哪根网线断了。
单机单点:
只抓本机网络数据包
单机多点:
必须有一台可管理交换机,在交换机上配置端口镜像功能,将其他端口上的流量都复制到抓包主机所连端口,这样就能在一台主机上抓去其他主机甚至全部网络流量的网络数据包
双机并行:
是在特定网络设备,比如防火墙的前 后端 各部署一个抓包主机同时抓包,然后进行比对分析,看数据包在经过特定的网络设备时,是否存在异常
wireshark界面认识
默认布局
调整布局(常用)
https://blog.csdn.net/qq_27071221/article/details/122979427编辑—》首选项—》外观—》布局
显示FCS错误
wireshark默认不显示FCS错误,需要自己开启配置
# 过滤所有错包
eth.fcs_bad
在数据包列表中,所有的错包都会带上这个小尾巴。
出现FCS值不匹配,很大概率是网络硬件故障。0x00000000这个0值错包,虽然Google认为是Wireshark误判,但实际上很少见,依然大概率是硬件故障。
出现错包,对TCP协议并无影响,但会影响UDP协议,因为UDP协议没有纠错机制。
# 过滤所有错包,并 排除0值错包
eth.fcs_bad and !eth.fcs == 0x00000000
wireshark常见列
Time
Time(时间)列:从第2个数据包开始,都是相对于第1个数据包的时间
时间是可以切换成绝对时间的,但建议用默认设置。
回包
这两个箭头,表示一个发包,一个回包。
数据报对应网络模型
wireshark基本操作
- 打开软件
- 选择网卡
- 即开始抓包,
结束抓包
再次开始抓包
wireshark常用过滤命令
https://cloud.tencent.com/developer/article/1618433
一般比较常用的就几个:
# 过滤指定ip地址
ip.addr==xxx.xxx.xxx.xxx# 过滤指定tcp端口
tcp.port=xxx# 过滤指定udp端口
udp.port==xxx
我一般会先用具体协议过滤个大概,比如tcp、udp、ssh、ftp、icmp、ssl、http、smtp等
一、过滤协议
- tcp
- udp
- arp
- icmp
- http
- smtp
- ftp
- dns
- ssl
- ssh
二、过滤IP
ip.src eq ${IP} or ip.dst eq ${IP}# 或
ip.addr eq IP
eq也可以用==代替
"不等于"怎么表达?测试!=不行,得用not xxyy,例如not tcp.port3389 && not ip.addr10.135.71.54 && not tcp.port80(tcp端口不等于3389且tcp端口不等于22且地址不等于10.135.71.54)
再比如
!ssl 或者 not ssl
!(arp.src192.168.1.1) and !(arp.dst.proto_ipv4192.168.1.243)
三、过滤端口
# 过滤tcp端口==443
tcp.port eq 443# 过滤tcp目标端口==80 或 tcp源端口==80
tcp.dstport == 80 or tcp.srcport == 80# 过滤udp端口==53
udp.port eq 53
四、过滤方向
| 关键字 | 解释 |
|---|---|
| src | 源 |
| dst | 目的地 |
| src and dst | 源 and 目的地 |
| src or dst | 源 or 目的地 |
| srcport | 源端口 |
| dstport | 目的地端口 |
| srcport and dstport | 源端口 and 目的地端口 |
| srcport or dstport | 源端口 or 目的地端口 |
五、过滤http
①过滤http模式
# 过滤请求方法为HEAD的数据包
http.request.method == "HEAD"# 过滤请求方法为GET的数据包
http.request.method == "GET"# 过滤请求方法为POST的数据包
http.request.method == "POST"
②模糊匹配字符串
http字符串过滤,这个字符串可以在Server部分,在URI部分,在域名部分等等
# 找到所有请求的路径 uri包含 xxx 的 HTTP 请求
http.request.uri contains "xxx"# 过滤包含 error 的 HTTP 请求或响应数据包
http contains "xxx"
六、tcp stream过滤
tcp.stream eq $streamindex
七、过滤rst
可以用这个条件找异常
# 找到所有被主机拒绝的连接请求
rst: tcp.flags.reset == 1 and tcp.ack == 0
例如
# 找到符合ip地址条件的,所有被主机拒绝的连接请求
ip.addr==10.1.2.35 && ip.addr==115.159.131.24 && tcp.flags.reset == 1
# 捕获多播地址和广播地址
# 捕获MAC地址最低位为1的数据包
## 在以太网协议中,MAC地址的最低位为1时,表示该地址为多播地址或广播地址。
eth[0] & 1
常用示例:
个人实际应用中遇到的一些分析场景。
分析DSCP值
在Wireshark中,您可以使用以下过滤器来筛选包含特定DSCP值的数据包:
ip.dsfield.dscp==xx
其中xx是您要筛选的DSCP值。
# 显示tcp数据包,并且其IP包头的dscp值不为0
!(ip.dsfield.dscp == 0) && tcp
相关文章:
wireshark常用过滤命令
wireshark常用过滤命令 wireshark抓包介绍单机单点:单机多点:双机并行: wireshark界面认识默认布局调整布局(常用)显示FCS错误 wireshark常见列Time回包数据报对应网络模型 wireshark基本操作结束抓包再次开始抓包 **wireshark常用过滤命令**…...
「全新升级,性能更强大——ONLYOFFICE 桌面编辑器 8.1 深度评测」
文章目录 一、背景二、界面设计与用户体验三、主要新功能亮点3.1 高效协作处理3.2 共同编辑,毫无压力3.3 批注与提及3.4 追踪更改3.5 比较与合并3.6 管理版本历史 四、性能表现4.1 集成 AI 工具4.2 插件强化 五、用户反馈与使用案例 一、背景 Ascensio System SIA -…...
线程版服务器实现(pthread_server)
用到的所有方法所需要的参数可以在wrap.c文件中查询,wrap中找不到的直接通过man手册查询 1.首先介绍一下我自己写的包裹文件,里面有各种在可能要用到的方法 wrap.c: #include <stdlib.h> #include <stdio.h> #include <unistd.h> #…...
js异常处理方案
文章目录 异常处理方案同步代码的异常处理Promise 的异常处理async await 的异常处理 感谢阅读,觉得有帮助可以点点关注点点赞,谢谢! 异常处理方案 在JS开发中,处理异常包括两步:先抛出异常,然后捕获异常。…...
C++文件路径处理2 - 路径拼接路径解析
1. 关键词2. filesystem.h3. filepath.cpp6. 测试代码7. 运行结果8. 源码地址 1. 关键词 关键词: C 文件路径处理 路径拼接 获取父目录的路径 获取文件名 获取拓展名 跨平台 应用场景: 路径的拼接路径的解析 2. filesystem.h #pragma once#include…...
数据结构5---矩阵和广义表
一、矩阵的压缩存储 特殊矩阵:矩阵中很多值相同的元素并且它们的分布有一定的规律。 稀疏矩阵:矩阵中有很多零元素。压缩存储的基本思想是: (1)为多个值相同的元素只分配一个存储空间; (2)对零元素不分配存储空间。 1、特殊矩阵的压缩存储 (1)对称矩…...
jquery使用infinitescroll无线滚动+自定义翻页
jquery版本 jquery-1.8.3.js infinitescroll版本 2.0.0 如果infinitescroll版本最新的jquery版本也要用新的 接口用nodejs jquery.infinitescroll.js官网地址 前端代码《接口返回JSON数据》 <!DOCTYPE html> <html lang"en"> <head><meta cha…...
【漏洞复现】锐捷统一上网行为管理与审计系统——远程命令执行漏洞
声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。 文章目录 漏洞描述漏洞复现测试工具 漏洞描述 锐捷统一上网行为管理与审计系统naborTable/static_convert.php…...
通义灵码上线 Visual Studio 插件市场啦!
通义灵码,是阿里云出品的一款基于通义大模型的智能编码辅助工具,提供行级/函数级实时续写、自然语言生成代码、单元测试生成、代码优化、注释生成、代码解释、研发智能问答、异常报错排查等能力,提供代码智能生成、研发智能问答能力。 通义灵…...
:客观题真题集)
GESP 四级急救包(2):客观题真题集
客观题真题集 一、选择题1. 真题梳理2. 真题答案3. 重难点点播(1) 指针和地址(2) 时间复杂度 二、判断题1. 真题梳理2. 真题答案 一、选择题 1. 真题梳理 若函数声明为 void f(int &a, int b, const int &c),且在主函数内已经声明了 x , y , z x,y,z x,y,…...
VERYCLOUD睿鸿股份确认参展2024年ChinaJoy BTOB商务洽谈馆,期待与你相聚
作为在全球数字娱乐领域兼具知名度与影响力的年度盛会,2024年第二十一届ChinaJoy将于7月26日至7月29日在上海新国际博览中心盛大召开,本届展会主题为:初心“游”在,精彩无限!(Stay True, Game On.ÿ…...
Java面试题:讨论Spring框架的核心组件,如IoC容器、AOP、事务管理等
Spring框架是一个功能强大且灵活的Java企业级应用开发框架,其核心组件包括以下几个主要部分: 1. IoC容器(Inversion of Control Container) IoC容器是Spring框架的核心部分,用于管理应用程序的依赖注入(D…...
【方案】基于5G智慧工业园区解决方案(PPT原件)
5G智慧工业园区整体解决方案旨在通过集成5G通信技术、物联网、大数据和云计算等先进技术,实现园区的智能化、高效化和绿色化。 该方案首先构建高速、稳定的5G网络,确保园区内设备、人员与物流的实时连接和高效沟通。其次,通过工业物联网技术&…...
使用System.currentTimeMillis获取当前时间
使用System.currentTimeMillis获取当前时间 大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天我们来探讨Java中如何使用System.currentTimeMillis()方法来获取…...
手机远程控制另一台手机的全新使用教程(安卓版)
看完这篇文章,你可以了解到安卓手机如何远程控制安卓手机,以及苹果手机如何远程控制安卓手机。 如果想要用安卓手机远程管控苹果手机,或者苹果手机远程管控另一台苹果手机,请点击查看视频《手机远程管控另一台手机的全新使用教程…...
商城积分系统的代码实现(上)-- 积分账户及收支记录
一、背景 上一系列文章,我们说了积分的数模设计及接口设计,接下里,我们将梳理一下具体的代码实现。 使用的语言的java,基本框架是spring-boot,持久化框架则是Jpa。 使用到的技术点有: 分布式锁…...
【C++进阶9】异常
一、C语言传统的处理错误的方式 终止程序,如assert 如发生内存错误,除0错误时就会终止程序返回错误码 需要程序员自己去查找对应的错误 z如系统的很多库的接口函数都是通 过把错误码放到errno中,表示错误 二、C异常概念 异常:函…...
RecyclerVIew->加速再减速的RecyclerVIew平滑对齐工具类SnapHelper
XML文件 ItemView的XML文件R.layout.shape_item_view <?xml version"1.0" encoding"utf-8"?> <FrameLayout xmlns:android"http://schemas.android.com/apk/res/android"android:layout_width"100dp"android:layout_heig…...
突破SaaS产品运营困境:多渠道运营如何集中管理?
随着数字化时代的到来,SaaS(软件即服务)产品已成为企业日常运营不可或缺的工具。然而,在竞争激烈的市场环境下,SaaS产品运营越来越重视多渠道、多平台布局,以更广泛地触及潜在用户,然而…...
智能语音热水器:置入NRK3301离线语音识别ic 迈向智能家居新时代
一、热水器语音识别芯片开发背景 在科技的今天,人们对于生活品质的追求已不仅仅满足于基本的物质需求,更渴望通过智能技术让生活变得更加便捷、舒适。热水器作为家庭生活中不可或缺的一部分,其智能化转型势在必行。 在传统热水器使用中&#…...
Vim 调用外部命令学习笔记
Vim 外部命令集成完全指南 文章目录 Vim 外部命令集成完全指南核心概念理解命令语法解析语法对比 常用外部命令详解文本排序与去重文本筛选与搜索高级 grep 搜索技巧文本替换与编辑字符处理高级文本处理编程语言处理其他实用命令 范围操作示例指定行范围处理复合命令示例 实用技…...
React第五十七节 Router中RouterProvider使用详解及注意事项
前言 在 React Router v6.4 中,RouterProvider 是一个核心组件,用于提供基于数据路由(data routers)的新型路由方案。 它替代了传统的 <BrowserRouter>,支持更强大的数据加载和操作功能(如 loader 和…...
在HarmonyOS ArkTS ArkUI-X 5.0及以上版本中,手势开发全攻略:
在 HarmonyOS 应用开发中,手势交互是连接用户与设备的核心纽带。ArkTS 框架提供了丰富的手势处理能力,既支持点击、长按、拖拽等基础单一手势的精细控制,也能通过多种绑定策略解决父子组件的手势竞争问题。本文将结合官方开发文档,…...
Python实现prophet 理论及参数优化
文章目录 Prophet理论及模型参数介绍Python代码完整实现prophet 添加外部数据进行模型优化 之前初步学习prophet的时候,写过一篇简单实现,后期随着对该模型的深入研究,本次记录涉及到prophet 的公式以及参数调优,从公式可以更直观…...
(二)原型模式
原型的功能是将一个已经存在的对象作为源目标,其余对象都是通过这个源目标创建。发挥复制的作用就是原型模式的核心思想。 一、源型模式的定义 原型模式是指第二次创建对象可以通过复制已经存在的原型对象来实现,忽略对象创建过程中的其它细节。 📌 核心特点: 避免重复初…...
基于Docker Compose部署Java微服务项目
一. 创建根项目 根项目(父项目)主要用于依赖管理 一些需要注意的点: 打包方式需要为 pom<modules>里需要注册子模块不要引入maven的打包插件,否则打包时会出问题 <?xml version"1.0" encoding"UTF-8…...
Rapidio门铃消息FIFO溢出机制
关于RapidIO门铃消息FIFO的溢出机制及其与中断抖动的关系,以下是深入解析: 门铃FIFO溢出的本质 在RapidIO系统中,门铃消息FIFO是硬件控制器内部的缓冲区,用于临时存储接收到的门铃消息(Doorbell Message)。…...
【从零学习JVM|第三篇】类的生命周期(高频面试题)
前言: 在Java编程中,类的生命周期是指类从被加载到内存中开始,到被卸载出内存为止的整个过程。了解类的生命周期对于理解Java程序的运行机制以及性能优化非常重要。本文会深入探寻类的生命周期,让读者对此有深刻印象。 目录 …...
Web中间件--tomcat学习
Web中间件–tomcat Java虚拟机详解 什么是JAVA虚拟机 Java虚拟机是一个抽象的计算机,它可以执行Java字节码。Java虚拟机是Java平台的一部分,Java平台由Java语言、Java API和Java虚拟机组成。Java虚拟机的主要作用是将Java字节码转换为机器代码&#x…...
 + 力扣解决)
LRU 缓存机制详解与实现(Java版) + 力扣解决
📌 LRU 缓存机制详解与实现(Java版) 一、📖 问题背景 在日常开发中,我们经常会使用 缓存(Cache) 来提升性能。但由于内存有限,缓存不可能无限增长,于是需要策略决定&am…...