Wireshark学习笔记 - 软件使用调试 - Wireshark进阶调试(下)
Wireshark
目录
1.软件使用调试
1.2. Wireshark进阶调试
1.2.1 显示界面设置
1.2.2 数据包操作
1.2.3 首选项设置
1.2.4 抓包选项设置
1.2.5 过滤器设置
1.2.5.1 抓包过滤器
1.2.5.2 显示过滤器
抓包过滤器 ↶
在以下位置填写抓包过滤器:
相关语法
抓包过滤器采用BPF语法(Bberkeley Packet Filter) - 基于libpcap/wincap库
| 类别 | 例子 |
|---|---|
| 类型 Type | host、net、port |
| 方向Dir | src、dst |
| 协议Proto | ether、ip、tcp、udp、http、ftp |
| 逻辑运算符 |
&& 与、|| 或、!非
|
举例说明
| 例子 | 解释 |
|---|---|
src host 192.168.1.1 && dst port 80 |
抓取原地址为192.168.1.1,目的端口的流量 |
host 192.168.1.1 || host 192.168.1.2 |
抓取192.168.1.1和192.168.1.2的流量 |
! broadcast |
不要抓广播包 |
实际使用
绿色说明语法正确,点击start,则启动抓包过滤器
显示过滤器 ↶
相关语法
比较操作符:
| 符号 | 解释 |
|---|---|
| == | 等于 |
| != | 不等于 |
| > | 大于 |
| >= | 大于等于 |
| <= | 小于等于 |
逻辑操作符:
| 符号 | 解释 |
|---|---|
| and | 两个条件同时满足 |
| or | 其中一个条件被满足 |
| xor | 有且仅有一个条件被满足 |
| not | 没有条件被满足 |
其它:
| 类别 | 例子 |
|---|---|
| IP地址 |
ip.addr、ip.src、ip.dst
|
| 端口过滤 |
tcp.port、tcp.srcport、tcp.dstport、tcp.flag.sym、tcp.flag.ack
|
| 协议过滤 |
arp、ip、icmp、udp、tcp、bootp、dns
|
举例说明
| 类别 | 实例 |
|---|---|
| 过滤IP地址 |
ip.addr == 192.168.1.1ip.src == 192.168.1.1ip.dst == 192.168.1.1ip.src == 192.168.1.100 and ip.dst == 58.250.135.156
|
| 过滤端口 |
tcp.port == 80tcp.srcport == 80tcp.dstport == 80tcp.flag.syn == 1
|
| 过滤协议 |
arptcpucpnot httpnot arp
|
| 综合过滤 |
ip.src == 192.168.1.100 and tcp.dstport == 80ip.addr == 192.168.1.106 and udp.port == 4000
|
实际使用
-
在过滤框中,填写过滤表达式,绿色表示语法正确:
效果:
其它使用类似。 -
此处可以自定义显示过滤器
-
保存过滤式
填写:
效果(下次可以直接点击按钮,不用重新写式子):
点我回顶部 ☚
Fin.