[TOC]

包大小:
arp < icmp < dns

wireshark 语法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

过滤IP,如源IP或者目标 x.x.x.x
ip.src == x.x.x.x or ip.dst eq x.x.x.x 或者 ip.addr == x.x.x.x
过滤端口
tcp.port eq 80 or udp.port eq 80
过滤MAC
eth.dst ==A0:00:00:04:C5:84

http模式过滤(就是一种模糊匹配)
http.request.method== "GET"
http.request.method== "POST"
http.request.uri =="/img/logo-edu.gif"
http contains"GET"
http contains"HTTP/1."
http.request.method== "GET" && http contains "User-Agent:"

#过滤登录后台
登陆后台是(相对路径即可) /admin/login.php
http contains "login" && http.request.method == "POST"

#登录密码
http contains "password"
ip.src == 192.168.94.59 and http contains "eval"
http contains "{\"success\":true}" and ip.addr==192.168.94.59

网卡配置是是什么,提交网卡内网ip
http contains "eth"

#协议分级统计 mysql类似的模糊匹配
mysql.query contains “SELECT”
mysql contains "hash_code"

接点击统计->端点

Q:如何查询某一个应用或者服务端与客户端请求与响应大小?
答:菜单栏统计 -> 分组长度 进行统计数据包大小;

1
2
3
4
5
6
7
8
9
# 按照其规律进行过滤
# Request - 请求
ip.src==10.20.172.103 && ip.dst==192.168.10.200
# Response - 响应
ip.dst==10.20.172.103 && ip.src==192.168.10.200

# 数据包大小计算
211 * 187.09 / 1024 = 38.55 kb(注意大小KB区别)
228 * 3661.07 /1024 = 815.16 kb

WeiyiGeek.所有请求数据包的大小查询

WeiyiGeek.所有请求数据包的大小查询

Q:如何查询HTTP数据包请求/响应返回数量统计?
答:菜单栏统计 -> HTTP -> 分组计数器
例如:HTTP 数据包请求/响应返回次数分别为 49 次;

WeiyiGeek.

WeiyiGeek.