抓包工具[3]：WireShark 的一些使用方法

本工具会监控网卡，将计算机所有的包通过网卡的都抓取下来，涉及多种网络协议。所以，一打开此工具，首先要指定网卡。对于虚拟网卡和多网卡设备，选择网卡时请注意区分。

一旦选择网卡后，会发现屏幕一直不停的在被刷，满屏都是各种字符在跳动，不会使用过滤器，用此工具就像海底捞针。

Capture -> Interfaces，显示所有网卡，包括虚拟网卡。
点击 IP 下列的 16 进制码，可以转换为常见的 IP 格式。

Capture -> Options，在第一排的 Interface 选择 local，网卡选择本地的网卡。其他默认，点击 Start.

过滤器

Filter 分为两种模式

• 捕捉过滤器（CaptureFilters）：只抓取过滤规则下的包，需先设置再抓包
• 显示过滤器（DisplayFilters）：可以理解为从众多结果中进行查找

实际用的过程，下面的一些案例就已经满足我的工作需求，特别是对于 get 和 post 请求包

Filter 使用

filter 规则填写正确时，表达式背景色显示为绿色，否则显红色，点击 Apply 运用过滤规则。常用规则主要有下面这些。

1. get 请求

http.request.method == get

再精确一些

http.request.method == get && http contains info

其中，info 为 http 请求中的字符
或者，直接用

http contains js

会将 js 相关的请求过滤出来

2. 筛选 IP
   查找目标 IP

ip.dst == 192.168.109.19

或者

ip.dst == 192.168.109.19 && http.request.method == get

又或者，域名多 IP，无法采用指定 IP 的情况

ip.dst_host == misc.pay.xxx.com

也是可以的

3. 指定端口

tcp.stream eq 82

to be continued...