网络抓包工具wireshark使用技术

打开软件 选择Capture----Interfance

选择用于抓取包的网卡，点击Start

主界面

Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。

Host(s):
可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用"host"关键字

Logical Operations（逻辑运算）:
可能的值：not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行

抓取目的地址是192.168.15.123的所有包

ip.dst_host==192.168.15.123

抓取来源地址是192.168.15.123的所有包

ip.src_host==192.168.15.123

抓取协议为ARP的所有包

eth.type == 0x806

ip.addr == 192.168.15.123    显示目的或来源IP地址为192.168.15.123  的封包。
tcp.port eq 25 or icmp        显示tcp端口为25或imcp的包
tcp.dstport == 25 显示目的TCP端口号为25的封包。
tcp.port == 80 || udp.port == 80 显示tcp端口为25或udp端口是80的包
eth.addr ==  00-1C-23-27-72-1E  显示mac地址是 00-1C-23-27-72-1E 的包
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。
http.request.uri matches "gl=se$"   匹配url中最后字符是gl=se的封包。