在做网络的开发中 我们必不可少的 工具就是wireshark, 他能抓到 链路层以上的包。
在海量的packets 中我们如何快速的找到自己想要看的包,例如根据protocol - tcp udp arp igmp http smtp 等 这些写有从链路到应用层。
这里我们有一个小的技巧
需要根据那一层的标记去过滤 就在 wireshark filter 上ip. 开始就会list 出能支持的过滤项。
例如需要过滤ip。
链路层 关键字过滤
传输层:
链路层含有另一个 wirless
其他的我们不详细去讲了 我们就说一下wlan 的一些过滤策略
安mac 过滤:
wan.addr / wlan contains 00:f0:12:24:35:88
安wifi 的包的类型过滤:
wlan.fc.type_subtype==0x0
在wires hark中 and ->&& not -> ! or -> || _ws.malformed 是一个format 检查功能 表示 这个packets 是对的。 vlan 表示 vlan 包。
ieee1905.message_id== 0xcda3 and ieee1905.message_type == 0x0003 and (not _ws.malformed) and (not vlan)
==》表示 过滤1905 message id 是cda3 message type 是 0003 的包 并且 包是完整合法的(这是有wireshark 自己来判断的) 并且不带vlan
ieee1905.tlv_type==0x83 and ieee1905.ap_bss_local_intf_ssid == Multi-AP-5LG-1
wlan.bssid== 00:03:7f:12:de:a7 and wlan.da== 80:38:fb:cd:c3:0f and wlan.fc.type==0 and wlan.fc.subtype==13 and wlan.fixed.category_code == 10 and wlan.fixed.action_code == 7 and (not _ws.malformed) and (not vlan)