windows抓包工具Wireshark（過濾）

一、IP過濾

ip.src ==192.168.0.208(ip.src eq 192.168.0.208) //來源等於某個ip 
ip.dst ==192.168.0.208(ip.dst eq 192.168.0.208) //目標等於某個ip

二、端口過濾 
tcp.port eq 80 //無論端口是來源的仍是目標的都顯示 
tcp.port == 80 
udp.port eq 80 
tcp.dstport == 80 //只顯tcp協議的目標端口80 
tcp.srcport == 80 //只顯tcp協議的來源端口80 
tcp.port >= 1 and tcp.port <= 80 //範圍端口

三、協議過濾 
tcp 
udp 
arp 
icmp 
http 
smtp 
ftp 
dns 
msnms 
ip 
ssl 等 
排除ssl包，如!ssh或者not ssl

四、包長度過濾 
udp.length == 26 //這個長度是指udp自己固定長度8加上udp下面那塊數據包之和 
tcp.len >= 7 //指的是ip數據包(tcp下面那塊數據),不包括tcp自己 
ip.len == 94 //除了以太網頭固定長度14,其它都算是ip.len,即從ip自己到最後 
frame.len == 119 //整個數據包長度,從eth開始到最後

五、表達式 
ip.src == 192.168.22.106 and udp.port == 5217 
ip.src == 192.168.22.106 && udp.port == 5217

 

使用捕獲過濾或顯示過濾，wireshark能夠僅捕獲/顯示通過指定ip的數據包，即某個ip收到或發出的全部數據包。wireshark捕獲/顯示過濾使用方法見：「wireshark過濾器」

顯示過濾：wireshark過濾通過指定ip的數據包

顯示過濾能夠完整的復現測試時的網絡環境，但會產生較大的捕獲文件和內存佔用。

ip.addr ==192.168.1.1 //顯示全部目標或源地址是192.168.1.1的數據包
ip.dst==192.168.1.1 //顯示目標地址是192.168.1.1的數據包
ip.src ==192.168.1.1 //顯示源地址是192.168.1.1的數據包

eth.addr== 80:f6:2e:ce:3f:00   //根據MAC地址過濾，詳見「wireshark過濾MAC地址/物理地址」

ip.src==192.168.0.0/16   //網絡過濾，過濾一個網段

捕獲過濾：wireshark捕獲通過指定ip的數據包

捕捉過濾抓包前在capture option中設置，僅捕獲符合條件的包，能夠避免產生較大的捕獲文件和內存佔用，但不能完整的復現測試時的網絡環境。

host 192.168.1.1      //抓取192.168.1.1 收到和發出的全部數據包
src host 192.168.1.1    //源地址，192.168.1.1發出的全部數據包
dst host 192.168.1.1    //目標地址，192.168.1.1收到的全部數據包

src host hostname    //根據主機名過濾

ether  host 80:05:09:03:E4:35    //根據MAC地址過濾

net 192.168.1    //網絡過濾，過濾整個網段
src net 192.168
dst net 192

使用「非/且/或」創建組合過濾條件能夠得到更精確的捕獲

非: ! or 「not」 (去掉雙引號)
且: && or 「and」
或: || or 「or」

wirershark過濾指定ip收發數據包示例：

抓取全部目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 數據

(tcp port 80) and ((dst host 192.168.1.2) or (dst host
192.168.1.3))   //捕獲過濾

tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //顯示過濾

抓取全部目標MAC 地址是80:05:09:03:E4:35 的ICMP 數據

(icmp) and ((ether dst host 80:05:09:03:E4:35))

icmp && eth.dst==80:05:09:03:E4:35

抓取全部目的網絡是192.168，但目的主機不是192.168.1.2 的TCP 數據

(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

捕獲主機192.168.1.1 和主機192.168.1.2 或192.168.1.3的通訊

host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

獲取主機192.168.1.1除了和主機192.168.1.2以外全部主機通訊的數據包

host 192.168.1.1 and ! 192.168.1.2

ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

獲取主機192.168.1.1接收或發出的telnet包，telnet使用tcp 23端口

tcp port 23 and host 192.168.1.1

tcp.port==23&&ip.addr==192.168.1.1