Wireshark过滤器的使用教程
Wireshark过滤器的使用
一、捕获过滤器
常用语法
- 类型:host port;
- 方向:src dst ;
- 协议:ether arp ip tcp udp icmp;
- 逻辑运算符: &&(与)、|| (或) 、 !(非);
举例说明
- src host 192.168.1.1 || dst port 443 (抓取源IP为192.168.1.1或者目标端口为443的数据包。)
- dst host 192.168.1.1 && dst port 80 (抓取目标IP为192.168.1.1并且目标端口为80的数据包。)
- ! host 192.168.1.1 (不抓取源、目IP为192.168.1.1的数据包)
实验演示
- 抓取源ip为192.168.43.126的数据包
点击开始之后会发现所抓取的数据包只有源ip为192.168.43.126 的数据包
- 抓取关于本机Mac地址的数据包、因为我连的是无线网所以勾选WLAN
点击开始之后就会发现当前只抓取了源Mac为 ac:b5:7d:e2:a9:81
- 抓取80端口的数据包并且源IP是192.168.43.126
点击开始之后就会发现只抓取了源IP是192.168.43.126并且目标端口是80的数据包
二、显示过滤器
常用语法
- 比较操作符:
== 等于
!= 不等于
> 大于
< 小于
>= 大于等于
<= 小于等于 - 逻辑操作符:
and:两个条件通顺满足
or :两个条件满足其中一个
xor:有且只有其中一个条件满足
not:没有条件被满足 - IP地址:ip.addr、ip.src、ip.dst
- 端口过滤: tcp.port 、tcp.srcport、 tcp.dstport、tcp.flags.syn/ack…
- 协议过滤:tcp 、ip 、icmp 、arp 、http 、dns 、bootp(dhcp) …
实验演示
- 过滤ICMP数据包
- 抓取http或者dns数据包
- 抓取tcp或者udp的80端口的流量
- 抓取三次握手的流量
tcp.flags.syn == 1 or tcp.flags.ack == 1