Wireshark捕获过滤器and显示过滤器

• 

• 一、捕获过滤器： 

• 选中当前需要捕获的网卡，下方绿色方框设置
• eg从本机发往47.94.13.1只捕获前往8080端口的数据不抓取广播包  
• dst port 2022 and host 47.94.13.1 and !broadcast
• 协议，可能的值：ether、ip、arp、tcp、udp、http、ftp……，如果没有特别指明是什么协议，则默认使用所有支持的协议。
• 方向，可能的值：src、dst，如果没有特别指明来源或目的地，则默认使用“src or dst”作为关键字。例如，“host 10.2.2.2”与“src or dst host 10.2.2.2”是一样的。
• 类型，可能的值：net、port、host，如果没有指定此值，则默认使用”host”关键字。例如，“src 10.1.1.1”与“src host 10.1.1.1”相同。
• 逻辑与&&，逻辑或||，逻辑非!
• 如果我们希望抓取某台特定主机或设备的数据包，那么可以根据设备的IP地址或MAC地址来设置过滤规则。
• 比如只抓取IP地址为192.168.0.10的数据包。
• host 192.168.0.10
• 如果考虑到主机的IP地址可能会变化，那么可以指定MAC地址进行过滤。
• ether host 00-50-56-C0-00-01
• 也可以根据数据的流向来过滤：
• src host 192.168.0.10 //从192.168.0.10发出的数据包
• dst host 192.168.0.10 //发往192.168.0.10的数据包
• ether src host 00-50-56-C0-00-01 //从00-50-56-C0-00-01发出的数据包
• ether dst host 00-50-56-C0-00-01 //发往00-50-56-C0-00-01的数据包
• port 8080 //只捕获8080端口的流量
• !port 8080 //捕获8080端口外的所有流量
• dst port 8080 //只捕获前往8080端口的流量
• icmp //只捕获ICMP流量
• !broadcast //不要抓取广播包

• 二、显示过滤器

• 针对http请求的一些过滤实例。
• 过滤出url网址请求地址中包含“user”的请求，不包括域名；
• http.request.uri contains "User"
• 精确过滤域名
• http.host==baidu.com
• 模糊过滤域名
• http.host contains "baidu"
• 过滤请求的content_type类型
• http.content_type =="text/html"
• 获取登录POST页面
• http.content_type =="application/x-www-form-urlencoded; charset=UTF-8"
• 过滤http请求方法
• http.request.method=="POST"
• 过滤tcp端口
• tcp.port==80
• http && tcp.port==80 or tcp.port==5566
• 过滤http响应状态码
• http.response.code==302
• 302 Move Temporarily 请求的资源临时从不同的 URI响应请求。由于这样的重定向是临时的，客户端应当继续向原有地址发送以后的请求。只有在Cache-Control或Expires中进行了指定的情况下，这个响应才是可缓存的。
• http.response.code == 200
• 200 OK 请求已成功。出现此状态码是表示正常状态。
• 404 Not Found 请求失败，请求所希望得到的资源未被在服务器上发现。
• eg获取包含SESSIONID的cookie信息
• http.cookie contains "PHPSESSID"
• eg获取包含JSESSIONID
• http.cookie contains "JSESSIONID"