Wireshark使⽤教程(⼀)——过滤器的使⽤Wireshark过滤器的使⽤教程 Wireshark过滤器的使⽤
⼀、捕获过滤器
常⽤语法
1. 类型:host port;
非人类2. ⽅向:src dst ;
3. 协议:ether arp ip tcp udp icmp;
4. 逻辑运算符: &&(与)、|| (或) 、 !(⾮);
举例说明
1. src host 19
2.168.1.1 || dst port 443 (抓取源IP为192.168.1.1或者⽬标端⼝为443的数据包。)
2. dst host 192.168.1.1 && dst port 80 (抓取⽬标IP为192.168.1.1并且⽬标端⼝为80的数据包。)
梅山降糖神茶3. ! host 192.168.1.1 (不抓取源、⽬IP为192.168.1.1的数据包)
实验演⽰
1. 抓取源ip为19
2.168.4
3.126的数据包
点击开始之后会发现所抓取的数据包只有源ip为192.168.43.126 的数据包 2. 抓取关于本机Mac地址的数据包、因为我连的是⽆线⽹所以勾选WLAN
点击开始之后就会发现当前只抓取了源Mac为 ac:b5:7d:e2:a9:81
信任代理
3. 抓取80端⼝的数据包并且源IP是192.168.43.126
点击开始之后就会发现只抓取了源IP是192.168.43.126并且⽬标端⼝是80的数据包
⼆、显⽰过滤器
常⽤语法
1. ⽐较操作符:
== 等于
!= 不等于
> ⼤于
< ⼩于
>= ⼤于等于细胞膜通透性
<= ⼩于等于
2. 逻辑操作符:
and:两个条件通顺满⾜
or :两个条件满⾜其中⼀个
公民与法xor:有且只有其中⼀个条件满⾜
not:没有条件被满⾜
3. IP地址:ip.addr、ip.src、ip.dst
4. 端⼝过滤: tcp.port 、tcp.srcport、 tcp.dstport、tcp.flags.syn/ack…
5. 协议过滤:tcp 、ip 、icmp 、arp 、http 、dns 、bootp(dhcp) …
实验演⽰
1. 过滤ICMP数据包
2. 抓取http或者dns数据包
3. 抓取tcp或者udp的80端⼝的流量
4. 抓取三次握⼿的流量
tcp.flags.syn == 1 or tcp.flags.ack == 1
落雪病毒专杀