文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Wireshark过滤器语法

Wireshark过滤器语法
EN

Stack Overflow用户
提问于 2012-04-23 21:57:56
回答 3查看 4.5K关注 0票数 2

我正试图为基于Wireshark的命令行TShark编写一个过滤器。我想将这些选项添加到命令中:

代码语言:javascript
复制
-i 2 (interface with index n°2)
-a duration:60 (the "scan" should last 60 seconds)
-v (print the result and exit)
-x (print an ASCII dump in the file)

以及只捕获具有以下特性的数据包的过滤器:

代码语言:javascript
复制
"ip" (only IP packets)
"ip.src == 192.168.0.1" (source IP adress should be 192.168.0.1)
"ip.dst == 111.222.111.222" (destination IP adress should be 111.222.111.222)
"port == 80 or port == 443" (port should be http or https)
"http.request.method == 'GET'" (it should be a GET request)

然后,我希望将结果保存在"test.txt“文件中。所以最后的命令应该是:

代码语言:javascript
复制
tshark -i 2 -a duration:60 -vx -f "ip" && "ip.src == 192.168.0.1" && "ip.dst == 111.222.111.222" && "port == 80 or port == 443" && "http.request.method == 'GET'" > test.txt

但是我一直收到一条来自Windows的错误消息,说'"ip.src == 192.168.0.1"不是一个公认的内部或外部命令。我试过使用空格,没有空格...etc,但无法找到一种方法来完成这项工作。

问题可能来自我“连锁”条件的方式。

  • 还想问一问是否有某种“停止执行”命令可以停止当前捕获,但仍然将结果保存在.txt文件中。
windows
networking
wireshark
EN

回答 3

Stack Overflow用户

回答已采纳

发布于 2013-08-06 18:24:08

以及只捕获具有这些特性的数据包的过滤器。

..。

"http.request.method == ' GET '“(应该是GET请求)

最后一部分是,很难用捕获过滤器完成。如果您可以避免这种情况,则其他的操作相对容易使用捕获筛选器:

代码语言:javascript
复制
"ip src 192.168.0.1 && ip dst 111.222.111.222 && (tcp port 80 or tcp port == 443)"

您可以使用整个*鲨鱼过滤器作为读取过滤器:

代码语言:javascript
复制
-r "ip && ip.src == 192.168.0.1 && ip.dst == 111.222.111.222 && (tcp.port == 80 or tcp.port == 443) && http.request.method == 'GET'"

(请注意,这是tcp.port,而不仅仅是port)。

但是,请注意,对于HTTP/TLS,如果请求是加密的,则必须安排解密这些请求,以使http.request.method == 'GET'工作。

(“或”子句周围的括号可能没有必要,但我希望它们只是使表达式的含义更加明显。)

票数 2
EN

Stack Overflow用户

发布于 2012-04-24 12:22:19

tshark -f选项采用捕获滤波器,而不是wireshark显示过滤器。这与脂帽语法相同。

票数 0
EN

Stack Overflow用户

发布于 2013-08-06 13:20:37

您必须删除过滤器部件之间的"字符。尝试:

代码语言:javascript
复制
"ip && ip.src == 192.168.0.1 && ip.dst == 111.222.111.222 &&
 port == 80 or port == 443 && http.request.method == 'GET'"
票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/10288908

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档