wireshark过滤使用及常见网络攻击检测过滤

2024-03-02 13:10:34

1、wireshark过滤方法:抓包过滤和显示过滤

1、抓包过滤:设置抓包条件,只抓取符合条件的报文
wireshark过滤使用及常见网络攻击检测过滤wireshark过滤使用及常见网络攻击检测过滤模块功能及使用介绍:
1、选择抓包接口(选取网卡)
2、抓包过滤条件:(须知:五元组(元素)确定一条流量)
        5个元素:源目ip、源目port、协议。
        3个逻辑符:与、或、非
可填写:
tcp
udp
host 192.168.10.10
src host 192.168.10.10
dst host 192.168.20.20
port 80
src port 80
dst port 80
src host 192.168.10.10 || dst host 192.168.20.20
host 192.168.10.10 && port 80
!arp
如:源ip为192.168.10.10,目的ip192.168.20.20端口为80或443的tcp流量(筛选固定源目host的http/https流量):
src host 192.168.192.88 dst 192.168.192.19 && port 80 || port 443 && tcp
常用的过滤条件可以通过以下自定义:
wireshark过滤使用及常见网络攻击检测过滤3、多个文件存放抓包结果:
        File处为抓包文件存放目录
        每抓1兆保存一次,每抓1分钟保存一次,保存第2个文件覆盖上个文件
4、自动停止抓包:1000个包后停止,1000分钟后停止
5、显示选项:抓包过程中的显示选项
6、名称解析:使能mac地址二层解析、使能网络层解析、使能传输层解析

2、显示过滤:抓取网卡接口所有报文,再筛选过滤
1、选择capture-interfaces
wireshark过滤使用及常见网络攻击检测过滤
2、选择网卡,开始抓包
wireshark过滤使用及常见网络攻击检测过滤3、过滤-直接在Filter框内输入条件
        1、协议过滤
小写(tcp/arp/udp/icmp等等)
wireshark过滤使用及常见网络攻击检测过滤比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
        2、ip过滤
ip.src == 192.168.10.10
ip.dst == 192.168.20.20
ip.addr == 192.168.10.10
        3、端口过滤
tcp.port == 80,
tcp.srcport == 80
tcp.dstport == 80
        4、http报文过滤
http.request
http.request.uri
http.response
等等
        5、逻辑运算符and、not、or
ip.addr == 192.168.10.10 and ip.addr == 192.168.20.20
tcp.port == 80 or tcp.port == 8080
        6、指定内容过滤
选中想要过滤的数据包特定内容,右键Apply as Filter——Selected,如图:过滤tcp报文ack置1的所有数据包
wireshark过滤使用及常见网络攻击检测过滤

过滤使用总结

抓包过滤与显示过滤用法区别:
1、逻辑运算符不同
        抓包过滤:与或非:&&、||、!
        显示过滤:与或非:and、or、not
2、ip地址过滤不同
        抓包过滤:host、src host、dst host
        显示过滤:ip.addr 、ip.src、ip.dst ==
3、端口过滤不同
        抓包过滤:port 80、src port 80、dst port
        显示过滤(协议.端口):tcp.port ==80、tcp.srcport == 80、tcp.dstport == 80

2、常见网络攻击检测(在此使用显示过滤方法)

网络攻击检测过滤条件列举:

1、TCP Flag攻击检测(SYN和FIN位同时为1;syn和rst同时为1;fin和urg同时为1;rst和fin同时为1)
过滤条件:tcp.flags.reset == 1 and tcp.flags.syn==1

2、ping of death(死亡之ping ,ip报文长度超过65535,有些系统收到后会崩溃)
过滤条件:ip.len>=65535

3、smurf攻击(基本的:icmp请求报文目的地址为广播地址,高级的:icmp请求报文源ip为被攻击者的ip且目的为广播地址)
过滤条件:icmp and ip.addr == 192.168.10.255

4、Fraggle攻击(UDP端口7(ECHO)和端口19(Chargen)在收到UDP报文后,大量无用的应答报文 ,占满网络带宽)
过滤条件:udp.port == 7 or udp.port ==19

5、IP Fragment攻击(Fragment是分片的意思)IP报文中有几个字段与分片有关:DF位、MF位,Fragment Offset 、Length 。如果上述字段的值出现矛盾,而设备处理不当,会对设备造成一定的影响,甚至瘫痪。
表现形式:
         1、DF位为1(表示不能分片),而MF位也为1或Fragment Offset不为0;
         2、DF位为0(表示可以分片),而Fragment Offset + Length > 65535

过滤条件:
ip.flags.df == 1 and ip.flags.mf ==1
ip.flags.df ==1 and ip.frag_offset != 0

另外wireshark还有高阶运用:分析模块、统计模块,可以显示报文时序图,结合过滤条件判断收取报文是否为异常流量,如图:
wireshark过滤使用及常见网络攻击检测过滤通过图表统计可以检测泛洪攻击:tcp flood、udp flood、http flood、dns flood、icmp flood等等
客官可以根据自己需要自定义过滤条件进行深入可视化分析。谢谢观看,了解更多网络安全知识敬请关注!

上一篇:如何用 wireshark 抓包


下一篇:cloud 数据表 转发