Wireshark使用之常用过滤表达式

/ 工具分享 / 0 条评论 / 3010 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

前言

Wireshark这款神器是我们抓包和数据包分析的常用工具,今天主要来讲一下数据包分析常用到的一下过滤表达式。

使用

在数据包分析中过滤语法(过滤表达式) 一般常用的有的以下命令

连接符,多条件组合

&&  
||
and
or

过滤地址

ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址
ip.src==192.168.10.10     #过滤源地址(发送方)
ip.dst==192.168.10.10     #过滤目的地址(接受方)

过滤协议,可直接输入协议

udp
tcp
icmp 
http
https
.......

过滤协议和端口

tcp.port==80
tcp.srcport==80
tcp.dstport==80 #目的端口

过滤http协议的请求方式

http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin   #url中包含admin的
http.request.code==404    #http请求状态码的

过滤mac地址

eth.src == 01:f9:32🇦🇩11:26

过滤内容

http contains "password"

协议组合使用

192.168.10.10的post

ip.src==192.168.10.10 and http.request.method=="POST"

192.168.10.10 请求修改

 ip.addr==192.168.10.10 and http.request.uri matches "edit|upload|modify"  

分析注意点

大量404请求——>目录扫描
大量 select....from 关键字请求——>SQL注入
连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
大量向同一个url请求——>爆破账户和密码

常见扫描器指纹

awvs:acunetix
netsparker:netsparker
appscan:Appscan
nessus:nessus
sqlmap:sqlmap

常见后台地址

admin
manager
login
system

本文最后编辑时间为: 2019-08-17

如本文对你有帮助,点击下面广告支持一下吧,创作不易,感谢大佬。

safe6