From:?http://www.cnblogs.com/icez/p/3973873.html

Wireshark是一個強大的網絡協議分析軟件，最重要的它是免費軟件。

? ?

過濾規則

只抓取符合條件的包，在Wireshark通過winpacp抓包時可以過濾掉不符合條件的包，提高我們的分析效率。

如果要填寫過濾規則，在菜單欄找到capture->options,彈出下面對話框，在capture?filter輸入框內填寫相應的過濾規則，點擊下方的start 就生效了。

? ?

1.只抓取HTTP報文

tcp port 80

解析：上面是只抓取tcp?協議中80端口的包，大部分Web網站都是工作在80端口的，如果碰到了81端口呢？可以使用邏輯運算符or唄！如?tcp port 80 or tcp port 81

? ?

2.只抓取arp報文

ether proto 0x0806

解析：ether表示以太網頭部，proto表示以太網頭部proto字段值為0x0806，這個字段的值表示是ARP報文，如果的ip報文此值為0x8000

? ?

3.只抓取與某主機的通信

host?www.cnblogs.com

只抓取和博客園服務器的通信,src表示源地址，dst表示目標地址

? ?

? ?

4.只抓取ICMP報文

icmp

更多關于過濾規則的說明可以參考：

? ?

http://www.tcpdump.org/tcpdump_man.html

? ?

顯示規則

只是將已經抓取到的包進行過濾顯示。

在下方的輸入框添入相應的規則點擊apply即可，如果需要清除這一次的顯示過濾點擊Clear即可

? ?

? ?

1.只顯示HTTP報文

tcp.port == 80

? ?

2.只顯示ARP報文

eth.type == 0x806

? ?

也許你會說Type后面的值記不住，沒關系可以點擊Expression會彈出Filter Expression窗口，如下圖：

? ?

? ?

3.只顯示與某主機的通信

ip.addr == 42.121.252.58

? ?

4.只顯示ICMP報文

Icmp

? ?

學習中比較常用，就記錄下來了

總結

以上是生活随笔為你收集整理的Wireshark技巧-过滤规则和显示规则的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。