有时需要抓去本地封包,但在winxp下,wireshark不会抓去本地包。可以通过建立路由的方式是wireshark抓去本地包。
route add 192.168.3.123 mask 255.255.255.255 192.168.3.1 metric 1
设置好以后就可以抓包了。比如抓取tomcat请求回应包
tcp.dstport == 8080 || tcp.port == 8080
附,常用过滤语法:
eth.addr eq 00:08:d2:00:09:10 查找MAC等于00:08:d2:00:09:10的数据包,不过源MAC还是目标MAC
eth.src eq 00:08:d2:00:09:10 查找源MAC地址为00:08:d2:00:09:10的数据包
eth.dst eq 00:08:d2:00:09:10 查找源MAC地址为00:08:d2:00:09:10的数据包
eth.type eq 0x0806 查找ethernet协议类型为0x0806(ARP包)的数据包
ip.addr eq 10.1.1.2 查找IP地址为10.1.1.2的数据包
tcp.dstport eq 80 查找TCP目标端口为80的数据包
tcp.srcport eq 80 查找TCP源端口为80的数据包
udp.srcport eq 53 查找UDP源端口为53的数据包
udp.dstport eq 53 查找UDP目标端口为53的数据包
ip.addr eq 10.1.1.2 and udp.srcport eq 53 定位查看IP地址为10.1.1.2,UDP源端口为53的数据包。