wireshark 抓取wss wireshark 抓取oracle

关键字有：eq,== 等于、ne,!= 不等于、gt,> 比…大、lt,< 比…小 ge,>= 大于等于、le,<= 小于等于 and,|| 且 or,&& 或 not,! 取反

非: ! or “not” (去掉双引号)且: && or “and”或: || or “or”

另外还有contains和matches两个不常用的关键字，过滤效果不错。

“contains”过滤包含指定字符串的数据包。例如：

http.request.uri contains “/dll/test.htm?”//过滤http请求的uri中含有/dll/test.htm?字段的请求信息

udp contains 81:60:03//过滤包含81:60:03的udp数据包

http.request.uri matches “V4=..1″//matches 匹配过滤条件中给定的正则表达式，支持与Perl兼容的正则表达式(PCRE)。

http.host==magentonotes.com

http.host contains magentonotes.com//过滤经过指定域名的http数据包，这里的host值不一定是请求中的域名

http.response.code==302//过滤http响应状态码为302的数据包

http.response==1//过滤所有的http响应包

http.request==1//过滤所有的http请求，貌似也可以使用http.request

http.request.method==POST//wireshark过滤所有请求方式为POST的http请求包，注意POST为大写

http.cookie contains guid//过滤含有指定cookie的http数据包

http.request.uri==”/online/setpoint”//过滤请求的uri，取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”//过滤含域名的整个url则需要使用http.request.full_uri

http.server contains “nginx”//过滤http头中server字段含有nginx字符的数据包

http.content_type == “text/html”//过滤content_type是text/html的http响应、post包，即根据文件类型过滤http数据包

http.content_encoding == “gzip”//过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked”//根据transfer_encoding过滤

http.content_length == 279http.content_length_header == “279″//根据content_length的数值过滤

http.server//过滤所有含有http头中含有server字段的数据包

http.request.version == “HTTP/1.1″//过滤HTTP/1.1版本的http包，包括请求和响应

http.response.phrase == “OK”

//过滤http响应中的phrase

三、捕捉UDP数据包

UDP协议分析常用过滤条件ip.addr==192.168.0.1 //过滤ip地址data.len==8 //过滤data部分长度为8的数据包data.data == 00:08:30:03:00:00:00:00 //过滤指定内容的数据包

udp.srcport == 10092 //过滤经过本机10092端口的udp数据包udp.dstport == 80 //过滤目标机器10092端口的udp数据包udp.port==10092 //过滤本机或目标机器10092端口的数据包udp.length == 20 //过滤指定长度的UDP数据包

UDP校验和过滤条件udp.checksum == 0x250fudp.checksum_good == 0 //Boolean类型udp.checksum_bad == 0

进程相关的过滤条件

以下过滤条件不支持Windows，因为需要特殊的驱动。

udp.proc.dstcmd //过滤目标进程名udp.proc.dstpid //过滤目标进程PIDudp.proc.dstuid //过滤目标进程的用户IDudp.proc.dstuname //过滤目标进程的用户名udp.proc.srccmd //过滤源进程名udp.proc.srcpid //过滤源进程PIDudp.proc.srcuid //过滤源进程的用户IDudp.proc.srcuname //过滤源进程的用户名

四、根据mac地址进行过滤

ether host 00:11:22:33:44:55 //过滤目标或源地址是00:11:22:33:44:55的数据包

ether dst host 00:11:22:33:44:55 //过滤目标地址是00:11:22:33:44:55的数据包

ether src host 00:11:22:33:44:55 //过滤源地址是00:11:22:33:44:55的数据包

eth.addr== 00:11:22:33:44:55 //过滤目标或源地址是00:11:22:33:44:55的数据包

eth.src== 00:11:22:33:44:55 //过滤源地址是00:11:22:33:44:55的数据包

eth.dst== 00:11:22:33:44:55 //过滤目标地址是00:11:22:33:44:55的数据包