前言

Wireshark这款神器是我们抓包和数据包分析的常用工具，今天主要来讲一下数据包分析常用到的一下过滤表达式。

使用

在数据包分析中过滤语法(过滤表达式) 一般常用的有的以下命令

连接符，多条件组合

&&  
||
and
or

过滤地址

ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址
ip.src==192.168.10.10     #过滤源地址（发送方）
ip.dst==192.168.10.10     #过滤目的地址（接受方）

过滤协议，可直接输入协议

udp
tcp
icmp 
http
https
.......

过滤协议和端口

tcp.port==80
tcp.srcport==80
tcp.dstport==80 #目的端口

过滤http协议的请求方式

http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin   #url中包含admin的
http.request.code==404    #http请求状态码的

过滤mac地址

eth.src == 01:f9:32🇦🇩11:26

过滤内容

http contains "password"

协议组合使用

192.168.10.10的post

ip.src==192.168.10.10 and http.request.method=="POST"

192.168.10.10 请求修改

 ip.addr==192.168.10.10 and http.request.uri matches "edit|upload|modify"  

分析注意点

大量404请求——>目录扫描
大量 select....from 关键字请求——>SQL注入
连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
大量向同一个url请求——>爆破账户和密码

常见扫描器指纹

awvs:acunetix
netsparker:netsparker
appscan:Appscan
nessus:nessus
sqlmap:sqlmap

常见后台地址

admin
manager
login
system