wireshark简介

wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。wireshark只能查看封包,而不能修改封包的内容,或者发送封包。


常用过滤表达式

  • 逻辑表达式
    == 等于
    eq 等于
    != 不等于
    and 与关系
    or 或关系
    && 与关系
    || 或关系
    > 大于
    < 小于
    >= 大于等于
    <= 小于等于
    not

  • 协议过滤
    tcp TCP协议
    udp UDP协议
    arp 局域网ARP协议
    icmp Ping数据包
    http HTTP数据包
    smtp 邮件smtp数据包
    ftp FTP协议
    dns DNS协议
    ssl/tls https等
    smb 局域网smb协议
    kerberos 域协议
    not icmp 排除icmp协议

  • 根据IP进行过滤
    ip.src/src_host == xxx.xxx.xxx.xxx 根据源IP进行过滤
    ip.dst/dst_host == xxx.xxx.xxx.xxx 根据目的IP进行过滤
    ip.addr eq xxx.xxx.xxx.xxx 根据地址进行过滤不区分源IP、目的IP

  • 根据端口进行过滤
    tcp.port == 80 过滤tcp端口80数据
    tcp.port >80 and tcp.port < 10000 过滤tcp端口大于80且端口小于10000的数据包
    udp.port == 53 过滤udp协议端口53的数据包
    tcp.dstport == 80 过滤tcp目的端口为80的数据包
    tcp.srcport == 80 过滤tcp来源端口为80的数据包

  • 根据MAC地址进行过滤

eth.src == 00:00:00:00:00:00 过滤来源地址MAC
eth.dst == 00:00:00:00:00:00 过滤目的地址MAC
eth.addr == 00:00:00:00:00:00 过滤指定MAC地址的数据,不区分来源


参考

https://www.cnblogs.com/joangaga/p/5884069.html