数据包操作
标记数据包
高亮显示
修改数据包颜色
注释数据包
首选项设置
对整个界面进行设置。如界面的布局,协议、统计。
抓包选项设置
多文件连续保存(在大型网络中抓包时)
捕获→选项
过滤器设置
抓包过滤器
BPF语法(Berkeley Packet Filter)——基于libpcap/wincap库,在抓包的过程中过滤掉某些类型的协议,不抓取过滤掉的协议。
语法
类型Type: host、net、port
方向Dir: src、dst
协议Protocol: ether、ip、tcp、udp、http、ftp
逻辑运算符: &&与、||或、!非
例子
src host 192.168.1.1 && dst port 80 抓取源地址为192.168.1.1,目的端口为80的流量
host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1和192.168.1.2的流量
!broadcast 不要抓广播包
显示过滤器
Wireshark显示过滤器的语法跟Wireshark抓包过滤器的语法是不一样的。
比较运算符 : > 大于
< 小于
== 等于
>= 大于等于
><= 小于等于
>!= 不等于
逻辑运算符 : and 两个条件必须同时满足
or 两个条件中至少一个条件被满足
xor 有且仅有一个条件被满足
not 没有条件被满足
IP地址 : ip.addr
ip.src
ip.dst
端口过滤 : tcp.port
tcp.srcport
tcp.dstport
tcp.flag.syn
tcp.flag.ack
协议过滤 : arp ARP可以把IP解析成MAC,也可以把MAC解析成IP
ip
icmp
udp
tcp
bootp
dns
实例:
ip.addr == 192.168.1.1
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
ip.src == 192.168.1.1 and ip.dst == 58.520.9.9