[Tool] WireShark基本使用

Wireshark（前称Ethereal）是一个网络封包分析软件.

在windows平台上,Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

[参数设置]:

　　抓包参数(Capture Filters):

　　　　　　语法:<Protocol name><Direction><Host(s)><Value><Logical Opreations><Expressions>

　　　　　　例子:

　　　　　　　　　　1.host www.baidu.com　　　　　　　　抓取host为www.baidu.com的包

　　　　　　　　　　2.tcp src port 443.　　　　　　　　　　抓取来源端口为443的包

　　　　　　　　　　3.not arp　　　　　　　　　　　　　　　不抓取arp数据

　　　　　　　　　　4.port 80　　　　　　　　 　　　　　　  获取端口为80的包

　　　　　　　　　　5.src 192.168.1.100 and port 223　　 获取来源ip为192.168.1.100 端口为223的包

　　显示参数(Display Filters):

　　　　　　语法:<protocol>.<string1>.<string2>.<comparsion opreator><value> <logical opreations><expressions>

　　　　　　例子:

　　　　　　　　　　1.tcp.port == 80　　　　　　　　　　　　　　　　　　　　展示端口为80的数据

　　　　　　　　　　2.!arp　　　　　　　　　　　　　　　　　 　　　　　　　　不展示arp协议的数据

　　　　　　　　　　3.ip.address == 192.168.1.100　　　　　　 　　　　　　展示IP地址为192.168.1.100的数据

　　　　　　　　　　4.(ip.dst == 11.22.1.10) && !(tcp) 　　　　　　　　　　目标ip为11.22.1.10 且不是tcp协议

查看包的数据:

　　右键行项目Follow Protocol Stream