Wireshark的学习小记录

备注：下载了英文、中文两版软件，本文的示例为中文版。

1、抓包

打开wireshark软件，界面类似于一个网页界面。可双击某网卡，进行数据包的捕获；也可点击捕获菜单，点击“选项”，然后选择要捕获数据包的网卡。此时，该网卡捕获了各种协议类型的数据包，为了方便我们查找数据包以及减小存储量，我们应该使用捕获过滤器。

2、捕获过滤器

过滤器的设置：选择好网卡后，在下面的过滤器编辑框中输入捕获过滤器。

捕获过滤器的语法：( Protocol name ) ( Direction ) ( Host ) ( Value ) ( Logical operations ) ( Expressions )。

1. Protocol name
   可能的值为 ether， fddi， ip， arp， rarp， decnet， lat， sca， moprc， mopdl， tcp ， udp.
   如果没有特别指明是什么协议，则默认使用所有支持的协议。

2. Direction
   可能的值为 src（源）, dst（目的）, src and dst, src or dst.
   如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。

3. Host
   可能的值为 net, port, host, portrange.
   如果没有指定此值，则默认使用”host”关键字。
   net+网段，port+端口号，host+ip地址/www.taobao.com(域名)
   portrange+端口号范围。

4. Logical operations
   可能的值为 not, and, or.
   否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。

举例：
tcp src port 443 %只抓取来源端口是443的tcp数据。

not arp %不获取arp数据。

port 80 %获取端口是80的数据，不指定其他代表全部都获取。

src 192.168.1.121 and port 233 %获取来源ip是192.168.1.121并且端 口号为233的数据。

host 10.1.2.3 %显示目的或来源ip地址为10.1.2.3的数据。

src portrange 2000-2500 %显示来源为udp或tcp，并且端口号在2000至2500范围内的数据。

3、显示过滤器

通常经过捕捉过滤器过滤后的数据还是很复杂，此时可以使用显示过滤器进行更加细致的查找。它的功能比捕捉过滤器更为强大，而且在想修改过滤器条件时，并不需要重新捕捉一次。

显示过滤器语法：( Protocol name ).( String1 ).( String2 ).( Comparison operator ) ( Value ) ( Logical operations ) ( Expressions )。PS : 注意中间的点点。

1. string1，string2（可选项）

   

举例：

tcp.port==80 %展示端口是80的tcp数据。

!arp %不展示arp协议的数据。

ip.addr==192.168.1.111 %只展示ip地址是192.168.1.111的数据，不论来源还是目标的地址。

操作：

可以单击表达式按钮，然后在窗口中选择展示过滤器的语法；
也可以在输入窗口中直接输入，背景为红色时，为命令不完整，背景为绿色时，则命令完整，按下回车键。
又或者可以直接利用数据包的信息，作为筛选，比如选中某个数据包的destination，右击，在菜单中选择“准备过滤器”的选中，再按下回车键。

还可以定制自己的展示过滤器。点击“+”，分别在“标签”和“过滤器”框中输入名字和过滤器表达式。

其中，点击左边的小旗子，还可以选择内置的展示过滤器。