目錄css
整理自陳鑫傑老師的wireshark教程課html
過濾器分爲抓包過濾器和顯示過濾器,抓包過濾器會將不知足過濾條件的包丟棄,只保留知足條件的包,而顯示過濾器則是對已抓取的包作過濾,過濾出知足條件的包。nginx
顯示過濾器能夠保留所有的報數據,方便後期作流量分析,而抓包過濾器保留的數據有限,後期分析有侷限性。less
wireshark抓包是基於其內部的libpcap/wincap庫tcp
打開軟件時直接在filter欄輸入過濾規則便可,以下以wireshark2.6舉例spa
Capture --> Options
3d
使用的是BFP語法(Berkeley Packet Filter),一共四個元素:code
&&
與||
或!
非示例:htm
抓取源地址爲192.168.1.1,目的端口爲80的流量blog
src host 192.168.1.1 && dst port 80
抓取192.168.1.1和192.168.1.2的流量
host 192.168.1.1 || host 192.168.1.2
不要抓取廣播包
! broadcast
ether host 00:88:ca:86:f8:0d ether src host 00:88:ca:86:f8:0d ether dst host 00:88:ca:86:f8:0d
host 192.168.1.1 src host 192.168.1.1 dst host 192.168.1.1
port 80 !port 80 dst port 80 src port 80
arp icmp
結合邏輯符號綜合過濾
host 192.168.1.1 && port 8080
使用顯示過濾器需先用軟件進行抓包,而後在軟件filter欄輸入過濾規則:
==
等於!=
不等於>
大於
<
小於>=
大於等於<=
小於等於
arp、ip、icmp、udp、tcp、bootp、dns等
示例:
過濾IP地址:
ip.addr == 192.168.1.1 過濾該地址的包 ip.src == 172.16.1.1 過濾源地址爲該地址的包
過濾端口:
tcp.port == 80 過濾tcp中端口號爲80的包 tcp.flags.syn == 1 過濾syn請求爲1的包
結合邏輯符綜合過濾:
ip.src == 192.168.1.1 and ip.dst == 172.16.1.1