抓包前設定過濾
在主選單上,選擇“捕獲>選項”:
常見的過濾:
tcp
tcp port host
host 172。18。5。4
port 53
net 10。2。25。44 # 閘道器
ether src 00:1c:7f:3e:e0:15
tcp port 443 or tcp port 51045
tcp[0:2] > 1500 # 埠大於1500
net 192。168。0。0 mask 255。255。255。0
你可以為檢查位元組流建立廣泛的捕獲過濾器。捕獲過濾器可以與乙太網級別(ether[x:y])、IP級別(ip[x:y])、TCP級別(tcp[x:y])或其他協議型別。
捕獲過濾器(如tcp埠80)不應該與顯示過濾器(如tcp。port == 80)相混淆。捕獲過濾器的限制更多,用於減少原始資料包捕獲的大小。顯示過濾器用於隱藏一些資料包。
捕獲過濾器是在開始捕獲資料包之前設定的,在捕獲過程中不能被修改。顯示過濾器沒有這個限制,你可以在捕獲過程中修改它們。
顯示過濾器簡介
在過濾器工具欄中,輸入一個不同的協議,如tcp,然後按回車鍵。
如果語法正確,背景變成綠色,如下圖所示。
類似的過濾有:ftp, http, tftp, tftp。opcode == 4, ip。alt="抓包神器wireshark實戰2過濾器" data-isLoading="0" src="/static/img/blank.gif" data-src==145。254。160。237, ip。dst ==145。254。160。237等
可以透過MAC地址等建立顯示過濾器,右鍵單擊地址,在彈出的選單中,選擇“作為過濾器應用>選中”,如下圖所示:
eth。dst == 6e:1e:d7:11:6e:95也可以修改為eth。addr == 6e:1e:d7:11:6e:95
自定義顯示過濾器
濾器。在Wireshark主視窗,點選過濾器工具欄右側的新增按鈕(+),如下圖所示。
後面單擊右上角的“我的過濾器”即可應用規則,
要刪除一個按鈕,再次點選新增(+)按鈕,然後點選 “過濾器按鈕首選項”。
右鍵的“我的過濾器”的彈出選單也可刪除。
顯示過濾器:統計
設定顯示過濾器 ip。addr == 172。65。253。13
在主選單上,選擇“統計 > Conversations”
選擇 “顯示過濾器的限制”,只顯示那些與被過濾的資料包有關的對話。
選擇“統計 > Endpoints”
選擇 “顯示過濾器的限制”,只顯示那些與被過濾的資料包有關的端點。
更多過濾器:
frame。len < 1514
frame。len > 1514
ip。src != 146。66。102。134
tcp。srcport <= 443
顯示過濾器:基於欄位內容
執行ping china-testing。github。io
設定顯示過濾器 icmp
過濾器icmp。type == 8只看請求,icmp。type == 0只看響應。not icmp。type 或not icmp看其他協議。
還可以根據序號來檢視:frame[40-41] == 0004。
還可以基於關鍵詞過濾,比如:
telnet。data contains “CEST”
lower(telnet。data) contains “cest”
upper(telnet。data) contains “FULL MOON”