WireShark使用
数据包过滤栏
数据包详细区
应用层
传输层
数据包字节区
WireShark过滤器
- WireShark中提供了两种不同的过滤器: 捕获过滤器和显示过滤器。
- 捕获过滤器是在WrieShark捕获过程的同时进行工作的,这意味着如果你使用了捕获过滤器,那么WireShark就不会捕获不符合规则的数据包。而显示过滤器则不同,而显示过滤器是在WireShark捕获的过程后进行工作的,这表示即使你使用了显示过滤器,WireShark任然会捕获不符合规则的数据包,但是不会将他们显示在数据包面板上。
捕获过滤器
- 捕获过滤器的配置必须要在使用WireShark进行捕获数据包之前进行,配置过程的步骤如下所示:
- 首先依次选择菜单栏上的“捕获”->“选项”按钮。
- 在“所选择的接口的捕获过滤器”后面的文本框中填写字符串形式的过滤器。
- 捕获过滤器遵循了伯克利包过滤的语法,下面给出了一些常见的过滤器;
- tcp des port 80,只保留目标端口为80的TCP数据包
- ip src host 192.168.1.1,只保留源端口为192.168.1.1的数据包
- src portrange 2000-2500,只保留源端口在2000-2500之间的UDP和TCP数据包
- not icmp,只保留除了icmp以外的数据包
WireShark显示过滤器
WireShark过滤规则支持限定符有下面的三种:
- Type:这种限定符表示指代的对象,例如IP地址,子网或者端口等
- 常见的有host(用来表示主机名和IP地址),net(用来表示子网),port(用来表示端口),如果没有指定,默认为host。
- Dir:这种限定符表示数据包的传输方向,常见的有src(源地址)和dst(目的地址)。如果没有指定,默认为“src or dst”。例如“192.168.1.1”就表示无论源地址或者目的地址为192168.11的都使得这个语句为真。
- Proto:这种限定符表示与数据包匹配的协议类型,常见的就是ether、ip、tcp、arp这些协议。
实例:
- ip.addr == 218.199.190.116,过滤数据包的目的地址或者源地址为218.199.190.116
- ip.dst == 218.199.190.116,过滤数据包的目的地址为218.199.190.116
- ip.src== 218.199.190.116,过滤数据包的源地址为218.199.190.116
- eth.addr == 11.22.33.44.55.66,过滤数据包以太网源地址或者目的地址为11.22.33.44.55.66
- eth.dst == 11.22.33.44.55.66,过滤数据包以太网目的地址为11.22.33.44.55.66
- eth.src == 11.22.33.44.55.66,过滤数据包以太网源地址为11.22.33.44.55.66