Wireshark显示过滤规则实验.doc

Wireshark过滤规则实验Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。Wireshark的优势：- 安装方便。- 简单易用的界面。- 提供丰富的功能。 Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。显示过滤器的使用1. 过滤IP，如来源IP或者目标IP等于某个IP例子:ip.src eq 07 or ip.dst eq 07或者ip.addr eq 07 / 都能显示来源IP和目标IPip.addr = 07/ 都能显示来源IP和目标IP实验：1、设置显示目的IP为本机IP的过滤语法并截图，替换样图2、设置显示源IP为本机IP并且目的IP为邻居IP的过滤语法并截图：2、端口过滤tcp.port eq 80 / 不管端口是来源的还是目标的都显示tcp.port = 80tcp.port eq 2722tcp.port eq 80 or udp.port eq 80tcp.dstport = 21 / 只显tcp协议的目标端口21tcp.srcport = 21 / 只显tcp协议的来源端口21udp.port eq 15000过滤端口范围tcp.port = 1 and tcp.port = 80实验：1、设置显示源端口号为80的过滤语法并截图2、设置显示目的端口号范围为1-1023的过滤语法并截图3. 过滤MAC以太网头过滤eth.dst = A0:00:00:04:C5:84 / 过滤目标maceth.src eq A0:00:00:04:C5:84 / 过滤来源maceth.dst=A0:00:00:04:C5:84eth.dst=A0-00-00-04-C5-84eth.addr eq A0:00:00:04:C5:84 / 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的实验：1、确定本机MAC地址为 2、设置显示源MAC为本机MAC并且目的MAC为邻居MAC的过滤语法并截图提示，需要在显示栏中将MAC地址显示出来，与显示源端口和目的端口一样的操作。4. 包长度过滤less than 小于 = 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len = 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len = 119 整个数据包长度,从eth开始到最后实验：1、设置tcp包长度大于等于ge 20并且小于等于le 40的过滤语法并截图（将包长度栏显示出来，和源端口与目的端口显示一样）2、设置ip长度大于20并且小于等于le 40的过滤语法并截图（将包长度栏显示出来）3、设置帧大于等于60并且小于等于le 100的过滤语法并截图（将包长度栏显示出来）4、包长度栏显示的长度表示的是（ ）长度A链路帧 B IP包 C TCP/UDP分组 D 应用层数据5、设置ip包的生存时间大于100并且小于200并且为DNS协议类型的过滤语法并截图6、设置显示icmp的ping请求包并且源IP为邻居IP的过滤语法并截图5. http模式过滤例子:http.request.method = GEThttp.request.method = POSThttp.request.uri = /img/logo-edu.gifhttp contains GEThttp contains HTTP/1./ GET包http.request.method = GET & http contains Host: http.request.method = GET & http contains User-Agent: / POST包http.request.method = POST & http contains Host: http.request.method = POST & http contains User-Agent: / 响应包http contains HTTP/1.1 200 OK & http contains Content-Type: http contains HTTP/1.0 200 OK & http contains Content-Type: 一定包含如下Content-Type:实验：1、设置显示HTTP协议的GET包的过滤语法并截图2、设置显示HTTP协议的POST包的过滤语法并截图6. TCP参数过滤tcp.flags 显示包含TCP标志的封包。tcp.flags.