Wireshark技巧-過濾規則和顯示規則

Wireshark是一個強大的網絡協議分析軟件，最重要的它是免費軟件。

   

過濾規則

只抓取符合條件的包，在Wireshark經過winpacp抓包時能夠過濾掉不符合條件的包，提升咱們的分析效率。

若是要填寫過濾規則，在菜單欄找到capture->options,彈出下面對話框，在capture filter輸入框內填寫相應的過濾規則，點擊下方的start 就生效了。

   

1.只抓取HTTP報文

tcp port 80

解析：上面是隻抓取tcp 協議中80端口的包，大部分Web網站都是工做在80端口的，若是碰到了81端口呢？能夠使用邏輯運算符or唄！如 tcp port 80 or tcp port 81

   

2.只抓取arp報文

ether proto 0x0806

解析：ether表示以太網頭部，proto表示以太網頭部proto字段值爲0x0806，這個字段的值表示是ARP報文，若是的ip報文此值爲0x8000

   

3.只抓取與某主機的通訊

host www.cnblogs.com

只抓取和博客園服務器的通訊,src表示源地址，dst表示目標地址

   

   

4.只抓取ICMP報文

icmp

更多關於過濾規則的說明能夠參考：

   

http://www.tcpdump.org/tcpdump_man.html

   

顯示規則

只是將已經抓取到的包進行過濾顯示。

在下方的輸入框添入相應的規則點擊apply便可，若是須要清除這一次的顯示過濾點擊Clear便可

   

   

1.只顯示HTTP報文

tcp.port == 80

   

2.只顯示ARP報文

eth.type == 0x806

   

也許你會說Type後面的值記不住，不要緊能夠點擊Expression會彈出Filter Expression窗口，以下圖：

   

   

3.只顯示與某主機的通訊

ip.addr == 42.121.252.58

   

4.只顯示ICMP報文

Icmp

   

學習中比較經常使用，就記錄下來了