Wireshark技巧-过滤规则和显示规则
From:?http://www.cnblogs.com/icez/p/3973873.html
Wireshark是一個(gè)強(qiáng)大的網(wǎng)絡(luò)協(xié)議分析軟件,最重要的它是免費(fèi)軟件。
? ?
過(guò)濾規(guī)則
只抓取符合條件的包,在Wireshark通過(guò)winpacp抓包時(shí)可以過(guò)濾掉不符合條件的包,提高我們的分析效率。
如果要填寫過(guò)濾規(guī)則,在菜單欄找到capture->options,彈出下面對(duì)話框,在capture?filter輸入框內(nèi)填寫相應(yīng)的過(guò)濾規(guī)則,點(diǎn)擊下方的start 就生效了。
? ?
1.只抓取HTTP報(bào)文
tcp port 80
解析:上面是只抓取tcp?協(xié)議中80端口的包,大部分Web網(wǎng)站都是工作在80端口的,如果碰到了81端口呢?可以使用邏輯運(yùn)算符or唄!如?tcp port 80 or tcp port 81
? ?
2.只抓取arp報(bào)文
ether proto 0x0806
解析:ether表示以太網(wǎng)頭部,proto表示以太網(wǎng)頭部proto字段值為0x0806,這個(gè)字段的值表示是ARP報(bào)文,如果的ip報(bào)文此值為0x8000
? ?
3.只抓取與某主機(jī)的通信
host?www.cnblogs.com
只抓取和博客園服務(wù)器的通信,src表示源地址,dst表示目標(biāo)地址
? ?
? ?
4.只抓取ICMP報(bào)文
icmp
更多關(guān)于過(guò)濾規(guī)則的說(shuō)明可以參考:
? ?
http://www.tcpdump.org/tcpdump_man.html
? ?
顯示規(guī)則
只是將已經(jīng)抓取到的包進(jìn)行過(guò)濾顯示。
在下方的輸入框添入相應(yīng)的規(guī)則點(diǎn)擊apply即可,如果需要清除這一次的顯示過(guò)濾點(diǎn)擊Clear即可
? ?
? ?
1.只顯示HTTP報(bào)文
tcp.port == 80
? ?
2.只顯示ARP報(bào)文
eth.type == 0x806
? ?
也許你會(huì)說(shuō)Type后面的值記不住,沒(méi)關(guān)系可以點(diǎn)擊Expression會(huì)彈出Filter Expression窗口,如下圖:
? ?
? ?
3.只顯示與某主機(jī)的通信
ip.addr == 42.121.252.58
? ?
4.只顯示ICMP報(bào)文
Icmp
? ?
學(xué)習(xí)中比較常用,就記錄下來(lái)了
總結(jié)
以上是生活随笔為你收集整理的Wireshark技巧-过滤规则和显示规则的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: MS SQL Server2008大数、
- 下一篇: 【学习资源】免费资源网站,仅供学习参考