Wireshark分析语法规则和命令行介绍

1、wireshark过滤表达式实例介绍

1.1 wireshark基本的语法字符

1.2 定位字符

所代表的是一个虚的字符，它代表一个位置，你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。

^ 表示其后的字符必须位于字符串的开始处

$ 表示其前面的字符必须位于字符串的结束处

\b 匹配一个单词的边界

\B 匹配一个非单词的边界

1.3 重复描述字符

{n} 匹配前面的字符n次

{n,} 匹配前面的字符n次或多于n次

{n,m} 匹配前面的字符n到m次

? 匹配前面的字符0或1次

1.4 and or 匹配

and 符号 并

or 符号 或

例如：

tcp and tcp.port==80

tcp or udp

1.5 wireshark过滤匹配表达式实例 1.5.1 搜索按条件过滤udp的数据段payload

1.5.2 搜索按条件过滤tcp的数据段payload

1.5.3 其他

http.request.uri matches ".gif

注意区别：http.request.uri contains ".gif"字符串的http请求数据包（这里

eth.addr[0:3]==00:1e:4f 搜索过滤MAC地址前3个字节是0x001e4f的数据包。

1.5.6 wireshark过滤表达式简表

ps: 请参数TCP/IP卷，灵活组合使用

2、Wireshark命令行工具tshark详解

wireshark可以分析数据包，可以通过编辑过滤表达式来达到对数据的分析；但我的需求是，怎么样把Data部分导出来，因为后续的工作主要针对数据包的Data部分，主要是对本地存储的.pcap文件进行解析。（PS:是一次性将整个数据包读入内存的，分析好后再统一输出，所以针对超大文件的分析，需要注意！但是和wireshark相比，tshark能分析的文件已经很大了，具体和系统配置有关！）另外有兴趣可以了解一下Python3版本的构造数据包的kamene。

2.1 选项介绍

在命令行下可以使用tshark -help得到选项的简单介绍，具体的需要查阅官方文档。

2.2 部分实例