打开软件 选择Capture----Interfance
选择用于抓取包的网卡,点击Start
主界面
Protocol(协议):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。
Host(s):
可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用"host"关键字
Logical Operations(逻辑运算):
可能的值:not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行
抓取目的地址是192.168.15.123的所有包
ip.dst_host==192.168.15.123
抓取来源地址是192.168.15.123的所有包
ip.src_host==192.168.15.123
抓取协议为ARP的所有包
eth.type == 0x806
ip.addr == 192.168.15.123 显示目的或来源IP地址为192.168.15.123 的封包。
tcp.port eq 25 or icmp 显示tcp端口为25或imcp的包
tcp.dstport == 25 显示目的TCP端口号为25的封包。
tcp.port == 80 || udp.port == 80 显示tcp端口为25或udp端口是80的包
eth.addr == 00-1C-23-27-72-1E 显示mac地址是 00-1C-23-27-72-1E 的包
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。
http.request.uri matches "gl=se$" 匹配url中最后字符是gl=se的封包。