前言

Wireshark这款神器是我们抓包和数据包分析的常用工具，今天主要来讲一下数据包分析常用到的一下过滤表达式。

使用

在数据包分析中过滤语法(过滤表达式) 一般常用的有的以下命令

连接符，多条件组合

&&   || and or 

过滤地址

ip.addr==192.168.10.10  或  ip.addr eq 192.168.10.10  #过滤地址 ip.src==192.168.10.10     #过滤源地址（发送方） ip.dst==192.168.10.10     #过滤目的地址（接受方） 

过滤协议，可直接输入协议

udp tcp icmp  http https ....... 

过滤协议和端口

tcp.port==80 tcp.srcport==80 tcp.dstport==80 #目的端口 

过滤http协议的请求方式

http.request.method=="GET" http.request.method=="POST" http.request.uri contains admin   #url中包含admin的 http.request.code==404    #http请求状态码的 

过滤mac地址

eth.src == 01:f9:32🇦🇩11:26 

过滤内容

http contains "password" 

协议组合使用

192.168.10.10的post

ip.src==192.168.10.10 and http.request.method=="POST" 

192.168.10.10 请求修改

 ip.addr==192.168.10.10 and http.request.uri matches "edit|upload|modify"  

分析注意点

大量404请求——>目录扫描
大量 select....from 关键字请求——>SQL注入
连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
大量向同一个url请求——>爆破账户和密码

常见扫描器指纹

awvs:acunetix netsparker:netsparker appscan:Appscan nessus:nessus sqlmap:sqlmap 

常见后台地址

admin manager login system