首页 > 其他分享 >wireshark 过滤source和destination wireshark常用过滤 转载

wireshark 过滤source和destination wireshark常用过滤 转载

时间:2024-09-03 17:16:08浏览次数:8  
标签:ACK destination SYN TCP 过滤 连接 wireshark

Wireshark常用过滤使用方法

tcp.port==80&&(ip.dst==122.114.5.11 || ip.src==122.114.5.11)

 

过滤源ip、目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1

 

端口过滤。

如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包

 

协议过滤

比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议

 

http模式过滤。

如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"

 

连接符and的使用。

过滤两种条件时,使用and连接,如过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。

 

 

工作中,一些使用方式

调整时间格式

wireshark 过滤source和destination wireshark常用过滤_服务端

 

 

然后再排序下。根据时间字段

wireshark 过滤source和destination wireshark常用过滤_客户端_02

 

 

根据端口过滤

服务端端口是7018,和客户端建立socket连接,根据服务端的端口找到2者通信的所有socket数据(客户端进入房间后会异常断开,判断是客户端导致的还是服务端导致的)

tcp.port==7018,最后的RST报文是服务端发起的,说明是服务端主动断开的,缩小问题范围

wireshark 过滤source和destination wireshark常用过滤_TCP_03

仅从抓包信息看是服务器的一个流量控制机制启动了。服务器发回rst位,同时win置为0,是告诉客户端不要发包。按tcp流控机制来说,此时客户端应该停止发包,直至服务器发送信息告诉客户端可以继续发送。

 

 

 

TCP连接:SYN ACK RST UTG PSH FIN
三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;
接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;
最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。

*SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。
在这里,可以把 TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。
在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。

*ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。

*RST:复位标志
复位标志有效。用于复位相应的TCP连接。

*URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,

*PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时,该标志总是置位的。

*FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。

TCP的几个状态对于我们分析所起的作用。在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG.其中,对于我们日常的分析有用的就是前面的五个字段。它们的含义是:SYN表示建立连接,FIN表示关闭连接,ACK表示响应,PSH表示有 DATA数据传输,RST表示连接重置。
其中,ACK是可能与SYN,FIN等同时使用的,比如SYN和ACK可能同时为1,它表示的就是建立连接之后的响应,如果只是单个的一个SYN,它表示的只是建立连接。
TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的,因为前者表示的是建立连接,而后者表示的是断开连接。
RST一般是在FIN之后才会出现为1的情况,表示的是连接重置。一般地,当出现FIN包或RST包时,我们便认为客户端与服务器端断开了连接;
而当出现SYN和SYN+ACK包时,我们认为客户端与服务器建立了一个连接。
PSH为1的情况,一般只出现在DATA内容不为0的包中,也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭,都是通过请求-响应的模式完成的。
-----------------------------------
wireshark 过滤source和destination wireshark常用过滤
https://blog.51cto.com/u_16213651/10635827

标签:ACK,destination,SYN,TCP,过滤,连接,wireshark
From: https://www.cnblogs.com/gaoyanbing/p/18394982

相关文章

  • 过滤策略算法
    过滤策略算法过滤策略算法是指根据特定的规则或条件,从一组数据中筛选出符合要求的数据集合的方法。在信息检索和搜索引擎领域,过滤策略算法常用于对搜索结果或推荐结果进行过滤,以提供更符合用户需求的结果集合。比如针对过滤用户拉黑的内容和不感兴趣的内容,可以采用基于用户行......
  • 【Windows】windows server如何实现 ps aux | grep xxx 方式过滤出要看到的进程信息
    在WindowsServer中,可以使用PowerShell或命令提示符(cmd.exe)来实现类似Linux中psaux|grepxxx的功能。具体来说,可以使用PowerShell的Get-Process命令来获取进程信息,并使用管道(|)和筛选命令来过滤出特定的进程信息。使用PowerShellPowerShell提供了非常强大的命令行工具,......
  • 042.CI4框架CodeIgniter,控制器过滤器Filter配合Services的使用
    01、Config中的Services.php代码如下:<?phpnamespaceConfig;useApp\Libraries\Tx_Auth;useCodeIgniter\Config\BaseService;classServicesextendsBaseService{//用户权限类publicstaticfunctionuser_auth($getShared=true){echo......
  • 041.CI4框架CodeIgniter,控制器过滤器Filter的使用
    01、我们在Filters目录,创建一个MyFilter.php文件<?phpnamespaceApp\Filters;useCodeIgniter\Filters\FilterInterface;useCodeIgniter\HTTP\RequestInterface;useCodeIgniter\HTTP\ResponseInterface;classMyFilterimplementsFilterInterface{publicfu......
  • (附论文)基于Springboot和Vue的协同过滤电影推荐系统(536)
    获取源码请滑到最底部访问官网项目配套调试视频和相对应的软件安装包1、项目描述电影推荐系统管理系统按照操作主体分为管理员和用户。管理员的功能包括付费电影管理、付费电影收藏管理、付费电影评价管理、电影购买管理、字典管理、电影论坛管理、电影资讯管理、免费电影管......
  • Wireshark下载安装和使用教程
    ......
  • Wireshark 4.4 重磅发布!具有重大增强功能
    Wireshark作为一个开源的网络协议分析工具,一直以来都在不断地优化和更新,以满足日益复杂的网络环境和用户需求。2024年8月29日,Wireshark团队发布了最新的4.4版本,Wireshark4.4的发布标志着该工具在性能和功能上的又一次飞跃。此次更新不仅增强了用户的分析能力,还......
  • wireShark总结
    wireShark总结一、常见协议包:1.ARP协议2.ICMP协议3.TCP协议4.UDP协议5.DNS协议6.HTTP协议1、ARP协议简述:就像你要给朋友家送快递,但只知道朋友家的门牌号(IP地址),不知道具体位置。这时你就去问小区物业(ARP协议的作用),物业告诉你朋友家的具体位置(MAC地址)。常见问题:ARP欺......
  • 基于协同过滤算法的电影推荐系统的设计与实现(论文+源码)_kaic
    摘 要现在观看电影已逐渐成为人们日常生活中最常见的一种娱乐方式,人们通常会在周末或在休息、吃饭时间不由自主地在各种视频软件中搜索当前火热的影视节目。但是现在的视频软件电影推荐功能不够完善,所以需要开发出一套系统来使用户只需要简单操作就能找到喜爱的影片。针对这......
  • Vue 过滤器(Filter)的理解与用法
    Vue.js是一个渐进式JavaScript框架,它提供了丰富的功能来构建用户界面。其中,过滤器(Filter)是一个非常有用的特性,它允许我们在模板中对数据进行格式化处理。本文将详细介绍Vue过滤器的概念、用法以及一些最佳实践。1.过滤器的基本概念1.1什么是过滤器?过滤器是Vue提供的一种......