1、wireshark过滤表达式实例介绍
1.1 wireshark基本的语法字符
1.2 定位字符
所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
^ 表示其后的字符必须位于字符串的开始处
$ 表示其前面的字符必须位于字符串的结束处
b 匹配一个单词的边界
B 匹配一个非单词的边界
1.3 重复描述字符
{n} 匹配前面的字符n次
{n,} 匹配前面的字符n次或多于n次
{n,m} 匹配前面的字符n到m次
? 匹配前面的字符0或1次
1.4 and or 匹配
and 符号 并
or 符号 或
例如:
tcp and tcp.port==80
tcp or udp
1.5 wireshark过滤匹配表达式实例 1.5.1 搜索按条件过滤udp的数据段payload
1.5.2 搜索按条件过滤tcp的数据段payload
1.5.3 其他
http.request.uri matches ".gif
注意区别:http.request.uri contains ".gif"字符串的http请求数据包(这里
eth.addr[0:3]==00:1e:4f 搜索过滤MAC地址前3个字节是0x001e4f的数据包。
1.5.6 wireshark过滤表达式简表
ps: 请参数TCP/IP卷,灵活组合使用
2、Wireshark命令行工具tshark详解
wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。(PS:是一次性将整个数据包读入内存的,分析好后再统一输出,所以针对超大文件的分析,需要注意!但是和wireshark相比,tshark能分析的文件已经很大了,具体和系统配置有关!)另外有兴趣可以了解一下Python3版本的构造数据包的kamene。
2.1 选项介绍
在命令行下可以使用tshark -help得到选项的简单介绍,具体的需要查阅官方文档。
2.2 部分实例
