蓝队技能：Wireshark捕获恶意攻击流量·上篇，它可以帮助用户深入了

蓝队技能：Wireshark捕获恶意攻击流量·上篇，它可以帮助用户深入了

        Wireshark是一款功能强大、易于使用且免费的网络流量分析工具。它可以帮助用户深入了解网络通信细节，解决网络问题，提高网络安全性和性能。在红蓝对抗中，作为防守一方需要对流量进行分析，熟练使用Wireshark可以帮助我们快速发现恶意攻击流量，理解攻击的手法，并且及时处理。

        本文主要将主要介绍Wireshark在流量分析的应用，一些wireshark的基本使用，本文不会涉及。大家可以参考：Wireshark零基础使用教程（超详细）_wireshark csdn 士别三日_士别三日wyx的博客-CSDN博客

基本介绍

 过滤器：可以根据特定的IP，端口，协议等搜索特定的数据包

摁下Ctrl+F会弹出筛选选项，可以指定内容筛选数据包。

将主要叙述一些过滤器的用法

比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

逻辑操作符

and      or     not

协议过滤

使用对应协议名即可，如：http,tcp,udp

IP过滤

   ip.src ==192.168.10.104 显示源地址为192.168.10.104的数据包列表

   ip.dst==192.168.10.104, 显示目标地址为192.168.10.104的数据包列表

   ip.addr == 192.168.10.104 显示源IP地址或目标IP地址为192.168.10.104的数据包列表

端口过滤

  tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

  tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

  tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

HTTP模式过滤

  http.request.method==”GET”,   只显示HTTP GET方法的。

数据包内容过滤

按照数据包内容过滤。右击你想要过滤的内容，选择作为过滤器，选中即可：

 就会自动生成筛选的语句进行筛选

 看到这， 基本上对wireshak过滤器使用有了初步了解，这就可以了，重点还是结合恶意攻击流量特征进行筛选。

下期预告：介绍常见的恶意流量

各位大佬，创作不易，顺手点个赞，谢谢！！！