流量分析

（1）数据包筛选：

Wireshark的数据包筛选功能是wireshark的核心功能，比如需要筛选出特定的协议如HTTP，Telnet等，
也可能需要筛选出ip地址，端口等，多条规则可以使用&&，|| 连接.

#ip筛选：
ip.src == 地址         #源ip筛选
ip.dst == 地址         #目的ip筛选
ip.addr == 地址          #ip筛选

#mac地址筛选：
eth.dst == A0:00:00:04:C5:84         #目标mac地址筛选
eth.addr == 20:89:84:32:73:c5        #mac地址筛选

#端口筛选：
tcp.dstport == 80        #筛选tcp协议的目标端口为80的流量包
tcp.srcport == 80        #筛选tcp协议的源端口为80的流量包
udp.srcport == 80        #筛选udp协议的源端口为80的流量包

#协议筛选：
tcp         #筛选协议为tcp的流量包
udp         #筛选协议为udp的流量包
arp/icmp/http/ftp/dns/ip     #筛选协议为arp/icmp/http/ftp/dns/ip的流量包
                         #可用!加协议或者not加协议表示排除该协议not arp 或!arp

#包长度筛选：

udp.length ==20     #筛选长度为20的udp流量包 这个长度是指udp本身固定长度8加上udp下面那块
数据包之和

tcp.len >=20     #筛选长度大于20的tcp流量包 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len ==20    #筛选长度为20的IP流量包 除了以太网头固定长度14,其它都算是i.en,即i本身到最后

frame.len ==2     #筛选长度为20的整个流量包 整个数据包长度从eth开始到最后

#http请求筛选：
GET:httprequest.method=="GET"  #筛选HTTP请求方法为GET的流量包

POST:http.request.method=="POST"    #筛选HTTP请求方法为POST的流量包

URI:http.request.uri=="/img/1.gif"    #筛选HTTP请求的URL为/img/1.gif的流量包

http contains "FLAG"   #筛选HTTP内容为/FLAG的流量包（请求或相应中包含特定内容：flag）

（3）数据包还原：

在 wireshark 中，存在一个交追踪流的功能，可以将 HTTP 或 TCP 流量集合在一起并还原成原始



数据，具体操作方式如下选中想要还原的流量包，右键选中，选择追踪流--TCP流/UPD流/SSL流/HTTP流.