Wireshark使用教程（一）——过滤器的使用

Wireshark过滤器的使用教程

Wireshark过滤器的使用

一、捕获过滤器

常用语法

1. 类型：host port；
2. 方向：src dst ；
3. 协议：ether arp ip tcp udp icmp；
4. 逻辑运算符： &&（与）、|| （或） 、 !（非）；

举例说明

1. src host 192.168.1.1 || dst port 443 （抓取源IP为192.168.1.1或者目标端口为443的数据包。）
2. dst host 192.168.1.1 && dst port 80 （抓取目标IP为192.168.1.1并且目标端口为80的数据包。）
3. ! host 192.168.1.1 （不抓取源、目IP为192.168.1.1的数据包）

实验演示

1. 抓取源ip为192.168.43.126的数据包
   
   点击开始之后会发现所抓取的数据包只有源ip为192.168.43.126 的数据包
   
2. 抓取关于本机Mac地址的数据包、因为我连的是无线网所以勾选WLAN
   
   点击开始之后就会发现当前只抓取了源Mac为 ac:b5:7d:e2:a9:81
   
3. 抓取80端口的数据包并且源IP是192.168.43.126
   
   点击开始之后就会发现只抓取了源IP是192.168.43.126并且目标端口是80的数据包
   

二、显示过滤器

常用语法

1. 比较操作符：
   == 等于
   != 不等于
   > 大于
   < 小于
   >= 大于等于
   <= 小于等于
2. 逻辑操作符：
   and：两个条件通顺满足
   or ：两个条件满足其中一个
   xor：有且只有其中一个条件满足
   not：没有条件被满足
3. IP地址：ip.addr、ip.src、ip.dst
4. 端口过滤： tcp.port 、tcp.srcport、 tcp.dstport、tcp.flags.syn/ack…
5. 协议过滤：tcp 、ip 、icmp 、arp 、http 、dns 、bootp(dhcp) …

实验演示

1. 过滤ICMP数据包
   
2. 抓取http或者dns数据包
   
3. 抓取tcp或者udp的80端口的流量
4. 抓取三次握手的流量
   tcp.flags.syn == 1 or tcp.flags.ack == 1