原文: http://www.cnblogs.com/icez/p/3973873.html
----------------------------------------------------------------------------------------------
Wireshark是一个强大的网络协议分析软件,最重要的它是免费软件。
过滤规则
只抓取符合条件的包,在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包,提高我们的分析效率。
如果要填写过滤规则,在菜单栏找到capture->options,弹出下面对话框,在capture filter输入框内填写相应的过滤规则,点击下方的start 就生效了。
1.只抓取HTTP报文
tcp port 80
解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81
2.只抓取arp报文
ether proto 0x0806
解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000
3.只抓取与某主机的通信
host www.cnblogs.com
只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址
4.只抓取ICMP报文
icmp
更多关于过滤规则的说明可以参考:
http://www.tcpdump.org/tcpdump_man.html
显示规则
只是将已经抓取到的包进行过滤显示。
在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可
1.只显示HTTP报文
tcp.port == 80
2.只显示ARP报文
eth.type == 0x806
也许你会说Type后面的值记不住,没关系可以点击Expression会弹出Filter Expression窗口,如下图:
3.只显示与某主机的通信
ip.addr == 42.121.252.58
4.只显示ICMP报文
Icmp
学习中比较常用,就记录下来了