概述:
windows平台流行的网络分析工具,可以捕捉网络中的数据,提供关于网络和上层协议的各种信息,当你的机器上有多块网卡的时候,你需要选择一个网卡;为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。
显示过滤器表达式
a.用于在捕捉结果中进行详细查找
b.用于过滤抓包数据,方便stream的追踪和排查
c.显示过滤器既支持协议过滤也支持内容过滤
1. 基于协议过滤
arp|icmp|http|tcp|udp|not icmp
2. 基于ip过滤
ip.src_host eq 192.168.88.100
3. 基于tcp流|端口|标志位等信息
tcp.stream eq 5
tcp.port > 100 and tcp.port < 1000
tcp.{srcport,dstport} eq 80
tcp.flags.syn eq 0x12
tcp.ack
tcp.len
4. 基于http请求方法,包含的字符串
http contains "api"
http.request.method == "POST"
http.host == "tracker.1ting.com"
http.request.uri contains "online"
5. 过滤条件逻辑运算符
and or not(!) eq(==) > 等
6. 过滤广播及组播包
not broadcast and not multicast
7. mac地址过滤
eth.dst == A0:00:00:04:C5:84
捕获过滤器表达式: capture filter
a.用于决定将什么样的信息记录在捕捉结果中
b.捕捉过滤器在抓抱前进行设置,决定抓取怎样的数据
c.捕捉过滤器仅支持协议过滤
过滤条件与显示过滤器添加一样, 需要注意是要在抓包前设置好.