1. 过滤ip地址、源地址、目的地址:
ip.addr == xx.xx.xx.xx
ip.src == xx.xx.xx.xx
ip.dst == xx.xx.xx.xx
ip地址过滤
2. 过滤网络网段信息:
ip.addr == xx.xx.xx.0/24
ip network过滤
3. VLAN,
Vlan
可以抓取到,打过vlan标签的数据包,如下图802.1q的数据包,
vlan-id过滤
vlan.id == xx,可以过滤特定的vlan信息,
vlan-id查看
4. 基于ip报头的字段过滤相关内容,以IPv4为例,首先看一下IPv4报头
ipv4报头
4.1 ip版本信息,
ip.version == 6
如下图:
ip version
4.2 ip.ttl, 通常情况下不同的系统会有不同的默认TTL值,例如:Linux=64,XP=128,Unix=255,win95=32数据包在网络传输过程中,每过一个路由节点会TTL-1,为了防止环路当TTL到0时,不会继续传递。因此通过对ttl过滤,可以辅助判断对端的系统类型(不是完全准确)
ip.ttl < 64 && ip.ttl > 32,快速过滤linux目标系统
ip.ttl
4.3 ip.len,ip包长度。当一个网络内存在过多的小包,通常存在各种网络问题,我们可以通过ip.len快速过滤出某些ip长度的数据包,
ip.len < 50
ip.len
4.4 ip.pro,ip层的上层协议,例如icmp=1,tcp=6,udp=17,
ip protocol
ip报头还设计DiffServer,后面我们会专门来分析。
扩展一下:通过协议[偏移位:位数]来定位协议的具体数值,例如,定位ip.pro
ip offset
ip[9] == 1
查看过滤结果
通过类似的方式,可以过滤ttl、addr等等,小伙伴可以自己尝试。
文章版权声明
1 原创文章作者:汇维网,如若转载,请注明出处: https://www.52hwl.com/1725.html
2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈
3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)
4 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别
微信扫一扫 
支付宝扫一扫 