TCP包
先看一下Wireshark抓到的TCP的包对应的协议层:
- Frame:对应是物理层,主要是传输bit流。
- Ethernet:数据链路层,传输数据帧,二层通信主要是通过mac地址。
- Internet:网络层,传送数据包, 互联网层IP包头部信息,这一层通过抓包能够知道源IP和目的IP
- Transmission:传输层,主要传送分组,传输层中的TCP、UDP协议
- Hypertext:应用层,常用的HTTP、SMTP、FTP等协议
进一步,可以查看TCP报文的详细内容:
过滤方法
在wireshark的过滤规则框Filter中输入过滤条件。
1. 过滤源ip、目的ip
如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;
2. 端口过滤
如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包
3. 协议过滤
比较简单,直接在Filter框中直接输入协议名即可,如过滤HTTP的协议
4. http模式过滤
如过滤get包,http.request.method=="GET",过滤post包,http.request.method=="POST"
5. 运算符的使用
可以使用与(&&)、或(||)、非(!)三种逻辑运算符。
例如,使用and连接,过滤ip为192.168.101.8并且为http协议的,ip.src==192.168.101.8 and http。
除此之外,还有一个有用的方法,即了解背景颜色的含义:可以在 视图-->着色规则 进行查看和自定义。
6. 显示器过滤
ip.addr==192.168.5.6,只显示192.168.5.6这个地址相关数据包
frame.len<=128,只查看长度小于128字节的数据包
参考链接: