WireShark是在以太网层抓取有线数据包的工具,打开软件后选取网卡,设置过滤条件就可以进行抓包分析。
常用的过滤条件有:eth.dst==xx:xx:xx:xx:xx:xx、ip.addr==192.168.10.1、bootp、pppoed、ppp、dns、syslog、dst、dns等。
也可以先不设置过滤条件抓取报文,然后打开抓取到的报文选择其中的某个字段作为过滤器进行后续的抓包。
Wireshark是在物理层抓包,抓取的报文是进入到Wireshark运行的主机上,即使选择了无线网卡,抓到的数据包也只能是该主机和其他设备通信的报文。
如果想要抓取其他设备之间的通信报文,则需要设置端口监控(镜像),使得通信的报文可以发往抓包主机。