wireshark 简单捕获过滤器和显示过滤器

wireshark 捕获过滤器和显示过滤器

目的：我需要完成对特定的IP、非特定的端口进行数据采集。采集其所有数据包。

打开wireshark的主界面后如下图

如果要对wlan 的192.168.2.79 进行捕获过滤采集，可以进行如下设置：

 

上图箭头指示的地方是显示过滤器，与之前的捕获过滤器相区别；

捕获过滤器的意思是就捕获条件允许的包

显示过滤器的意思是不过滤捕获的数据，只是在显示的时候过滤一下，方便观察。

显示过滤实例：

 

捕获过滤设置实例：先停止捕获，点击下图的捕获设置按钮

捕获条件：src 192.168.2.81 && port 80 ，表示指定IP 指定端口捕获

设置输出：pcap，当然也可以指定输出到那个文件，以便长期监视。

 

点击开始；

 

贴一些例子：

应用示例

host 192.168.0.10 //只抓取IP地址为192.168.0.10的数据包

如果考虑到主机的IP地址可能会变化，那么可以指定MAC地址进行过滤。

ether host 00-50-56-C0-00-01 //指定MAC地址进行过滤

也可以根据数据的流向来过滤：

src host 192.168.0.10 //从192.168.0.10发出的数据包

dst host 192.168.0.10 //发往192.168.0.10的数据包

ether src host 00-50-56-C0-00-01 //从00-50-56-C0-00-01发出的数据包

ether dst host 00-50-56-C0-00-01 //发往00-50-56-C0-00-01的数据包

需要注意的是，host在表达式中是默认选项，因而上面的这几个表达式无论是否加上host都是表达相同含义。

再比如通过端口进行过滤：

port 8080 //只捕获8080端口的流量

!port 8080 //捕获8080端口外的所有流量

dst port 8080 //只捕获前往8080端口的流量

通过协议或通信方式进行过滤：

icmp //只捕获ICMP流量

!broadcast //不要抓取广播包

host 192.168.5.231 and port 80 and http    #只捕获主机192.168.5.231 的http流量

port 80 and http          #捕获所有经过该接口的http流量

host 192.168.5.231 and not port 80# 捕获主机192.168.5.231除 http 之外的其他所有流量

not port 80               #捕获除 http 之外的其他所有流量

not port 80 and !http     #捕获除 http 之外的其他所有流量

host 192.168.5.231    #捕获源目主机均为192.168.5.231

dst 192.168.5.231     #捕获目的主机均为192.168.5.231

src 192.168.5.231     #捕获来源主机均为192.168.5.231

net 192.168.5.0/24    #捕获网段为d192.168.5.0的所有主机的所有流量