抓包工具Wireshark過濾器

抓包工具WireShark分爲兩種過濾器：

捕捉過濾器（CaptureFilters）

顯示過濾器（DisplayFilters）

 

捕捉過慮器語法： 

Protocol  Direction  Host  Value  LogicalOperations  OtherExpression 

Tcp   dst      10.1.1.1  80      and               tcp dst 10.2.2.2 3128

 

Protocol可能的值：ether、fddi、ip、arp、decnet、lat、sca、moprc、tcp and udp，默認所有

Direction可能的值：src、dst、src and dst、src or dst，默認使用src or dst

 

Host可能的值：net、port、host、portrange，默認使用host。

例： src 10.1.1.1  與  src host 10.1.1.1相同

 

LogicalOperations可能的值：not、and、or

 

顯示過濾器語法：

Protocol.String1.String2  ComparisonOperator  value  LogicalOperation  OtherExpression

     Ftp.passsive.ip         ==            10.2.2.2     xor            icpm.type

 

ComparisonOperator可能的值：==、!=、>、<、>=、<=

 

LogicalOperation可能的值：and &&、or ||、xor ^^、not !

 

例子：snmp||dns||icmp  //顯示snmp或dns或icpm包

 

Ip.addr == 10.1.1.1 //顯示來源或目的ip爲10.1.1.1的包

 

Ip.src != 10.1.1.1 or ip.dst!=10.2.2.2 //顯示來源不爲10.1.1.1或目的不爲10.2.2.2.的包

 

Tcp.port == 25 //顯示來源或目的的TCP端口爲25的包

 

Tcp.dstport ==25

 

Tcp.flags  //顯示包含TCP標誌的包

 

Tcp.flags.syn == 0x02 //顯示包含TCP SYN標誌的包

 

本機既做爲客戶端又做爲服務端，須要設置纔可讓wireshark抓到數據：

一、管理員運行cmd

二、Route add 本機ip mask 255.255.255.255 網關ip