数据包过滤是wireshark一个很实用的功能了,
>通常我们抓包会抓取到网卡通过的所有数据包。- 很多数据包对于我们来说是没用的,所以我们就需要对其进行过滤。
- 数据包的过滤可以分为
抓取时过滤
抓取后的过滤
这两种过滤的语法不同!抓取时过滤
- 捕获——>捕获过滤器
这是wireshark默认的一些捕获过滤器,
我们可以参照他的语法,自己在左下角自己添加或者删除捕获过滤器 - 然后如果我们想抓取时对数据包过滤,
- 捕获——>选择,
- 然后选择我们要抓取数据包的网卡,在下面选择我们的过滤器。
- 绿色的话表示语法没有问题,设置好了之后点击开始就可以抓取数据包了
-
抓取后的过滤
过滤语法
- 过滤地址
ip.addr==192.168.10.10
ip.addr eq 192.168.10.10 #过滤地址
ip.src==192.168.10.10 #过滤源地址
ip.dst==192.168.10.10 #过滤目的地址
- 过滤协议,直接输入协议名
icmp
http
- 过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
- 过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin #url中包含admin的
http.request.code==404 #http请求状态码的
- 连接符
&&
||
and
or
- 通过连接符可以把上面的命令连接在一起,比如:
ip.src==10.0.105.22 and tcp.port==80
-
点击下面获取学习链接
wireshark安装及网卡配置
wireshark数据包过滤
Wireshark 窗口介绍
Wireshark抓包TCP包头分析
Wireshark数据流追踪和信息说明
Wireshark抓包页面的登录信息