0x00前言
我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remotepacketcaptureprotocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark捕获远程电脑的流量了。但是各种协议的流量非常巨大,如果我们捕获所有协议的流量,那么数小时内,捕获到的流量将到达几百M,甚至几G。硬盘空间很快就被填满了。所以很有必要,只捕获特定的流量或者不捕获某些流量而捕获其他所有的流量。
0x02捕捉过滤器语法
语法:<Protocol><Direction><Host(s)><Value><LogicalOperations><Otherexpression>
Protocol(协议):ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp,udp等,如果没指明协议类型,则默认为捕捉所有支持的协议。
Direction(方向):src,dst,srcanddst,srcordst等,如果没指明方向,则默认使用“srcordst”作为关键字。
Host(s):net,port,host,portrange等,默认使用”host”关键字,”src10.1.1.1″与”srchost10.1.1.1″等价。
LogicalOperations(逻辑运算):not,and,or等,否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行。
0x03常见使用的捕获过滤语句
1.1只(不)捕获某主机的HTTP流量
host192.168.5.231andport80andhttp#只捕获主机192.168.5.231的http流量。注意如果你的HTTP端口为8080,把80改为8080。
port80andhttp#捕获所有经过该接口的http流量。注意如果你的HTTP端口为8080,把80改为8080。
host192.168.5.231andnotport80#捕获主机192.168.5.231除http之外的其他所有流量,注意如果你的HTTP端口为8080,把80改为8080。
notport80#捕获除http之外的其他所有流量,注意如果你的HTTP端口为8080,把80改为8080。
notport80and!http##捕获除http之外的其他所有流量,注意如果你的HTTP端口为8080,把80改为8080。
1.2只捕获某主机的所有流量
host192.168.5.231#捕获源目主机均为192.168.5.231
dst192.168.5.231#捕获目的主机均为192.168.5.231
src192.168.5.231#捕获来源主机均为192.168.5.231
net192.168.5.0/24#捕获网段为d192.168.5的所有主机的所有流量
1.3只捕获某主机的DNS流量
host192.168.5.231andport53#只捕获主机192.168.5.231的dns流量。
src192.168.5.231andport53#只捕获主机192.168.5.231对外的dns的流量。
dst192.168.5.231andport53#只捕获dns服务器相应主机192.168.5.231的dns流量。
port53#捕获接口中的所有主机的dns流量
1.4只(不)捕获APR流量
host192.168.5.231andarp#只捕获主机192.168.5.231的arp流量。
host192.168.5.231and!arp#只捕获主机192.168.5.231除arp外的所有流量。
arp#捕获接口中的所有arp请求
!arp#捕获接口中所有非arpq请求。
1.5只捕获特定端口的流量
tcpportrange8000-9000anport80#捕获端口8000-9000之间和80端口的流量
port5060#捕获sip流量,因为sip的默认端口是5060。举一反三:port22#捕获ssh流量
1.6捕获电子邮件的流量
host192.168.5.231andport25#捕获主机192.168.5.231的POP3协议的流量。
port25andportrange110-143#因为电子邮件的协议:SMTP、POP3、IMAP4,所以捕获端口的流量。
1.7捕获vlan的流量
vlan#捕获所有vlan的流量
vlanand(host192.168.5.0andport80)#捕获vlan中主机192.168.5.0,前提是有vlan,在wifi中不一定可以捕获到相应的流量,局域网(公司,学校里面的网络应该有vlan)
1.8捕获PPPoE流量
pppoes#捕获所有的pppoes流量
pppoesand(host192.168.5.231andport80)#捕获主机
1.9更多的案例,可以参考
端口常识:https://svn.nmap.org/nmap/nmap-services#按键:Ctrl+f,进行搜索相关的协议。
http://tool.chinaz.com/port/#常见协议及其端口
如果要捕获某种协议的流量,可以尝试捕获该端口的流量
0x04综合实例
#蠕虫的捕获过滤器
Blasterworm:dstport135andtcpport135andip[2:2]==48
Welchiaworm:icmp[icmptype]==icmp-echoandip[2:2]==92andicmp[8:4]==0xAAAAAAAA
worm:dstport135ordstport445ordstport1433andtcp[tcpflags]&(tcp-syn)!=0andtcp[tcpflags]&(tcp-ack)=0andsrcnet192.168.0.0/24
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
