wireshark过滤器

1、过滤IP
ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者 ip.addr eq x.x.x.x

2、过滤端口
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 只显tcp协议的目标端口为80
tcp.scrport == 80 只显tcp协议的源端口为80
tcp.port >=1 and tcp.port<=80

3、过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip……

4、包长度过滤
一般长度较小的包,可能不会藏太多东西
udp.length == 26
tcp.len >= 7
ip.len == 94
frame.len == 119 整个数据包的长度,从eth开始到最后

5、过滤MAC
eth.dst == A0:00:00:04:C5:84 过滤目标mac

6、http模式过滤
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
http.request.method == “GET” && http contains “User-Agent:”
http contains “flag”
http contains “key”
tcp contains “flag”
tcp contains “command”
tcp contains “ls”

简单使用

1、协议分级
[统计]->[协议分级]

从协议分级可以看出这个pcap文件里的UDP明显多于TCP,所以就主要分析这个文件的UDP

2、根据数据包特征进行筛选
比如查看数据包时,有的数据包有某些特征,比如有http(80),就可以筛选这种特征出来
[右键]->[作为过滤器应用]->[选中]

3、流汇聚
在关注的http数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容

常见的HTTP流关键内容:
1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息
3、一句话木马、POST请求、内容包含eval、内容使用base64加密

4、提取通过http传输的文件内容
[文件]->[导出对象]->[HTTP]

5、手动提取文件内容
点击想要的数据包,选中media type位置(或其他位置)
[右键]->[导出分组字节流]
在弹出的框中将文件保存成二进制文件

6、查找分组字节流
Ctrl+F

上面的红色框是只有按Ctrl+F才会出来的
下面整个大红框框住的部分就是分组字节流。(平时点击一个包,都会看到分组字节流的)
查找分组字节流和流追踪看到的内容是不一样的

无线流量包和USB流量包之类的