网络分析器Wireshark过滤器设置

1、简介

Wireshark是目前全球使用最广泛的开源抓包软件。可以对网络进行故障定位、对网络黑客攻击进行快速定位、分析底层通信机制等。

2、Wireshark安装

下载地址：Wireshark · Go Deep.https://www.wireshark.org/

3、界面介绍

        如果打开发现没有接口，是因为wireshark自带的Npcap不支持win10，需要下载Win10Pcap。下载地址：Win10Pcap Download - WinPcap for Windows 10http://www.win10pcap.org/download

下载安装后就可以看到接口了

 选择以太网就进入了抓包界面

4、过滤器设置

4.1、捕获过滤器

使用捕获过滤器可以只捕获我们需要的数据包

4.1.1、语法

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

协议(Protocol)：ether，ip，tcp，udp，http，ftp                //默认使用所有协议

方向(Direction)：src(源地址)，dst(目的地址)                      //默认为src or dst

主机地址(Host)：host(主机)，net(网段)，port(端口)           //默认为host

逻辑运算符(Logical Operations)：&&(and)，||(or)，!(not)

4.1.2、例子

过滤mac地址：

ether host 2C-F0-5D-AA-DE-27            //捕获该mac地址上的所有数据包

ether src host 2C-F0-5D-AA-DE-27      //捕获从该mac地址发出的数据包

过滤ip地址：

host 127.0.0.1            //捕获该ip地址上所有收发的数据包

host dst 127.0.0.1      //捕获发往该ip地址的数据包

过滤端口：

port 80                       //捕获80端口上的所有数据包

其他：

src host 127.0.0.1 && src port 10010        //捕获从该ip地址和端口发出的数据包

host 192.168.1.110 || host 192.168.1.111  //抓取192.168.1.110和192.168.1.111的数据

4.1.3、捕获过滤器位置

4.2、显示过滤器

如果我们捕获了所有的数据包，可以使用显示过滤器，只显示我们需要分析的数据包。

4.2.1、语法

ip地址：ip.addr  ip.src  ip.dst

端口过滤：tcp.port  tcp.srcport  tcp.dstport

协议过滤：ip  tcp  udp  http

逻辑操作符：and or not

比较操作符：==  !=  >  >=  <  <=

4.2.2、例子

过滤ip地址：

ip.addr == 192.168.1.1     //显示该ip地址所有数据包

ip.src == 192.168.1.1       //显示从该ip地址发出的数据包

过滤端口：

tcp.port == 80                   //显示使用tcp协议发往和接收80端口的数据包

tcp.dst == 80                    //显示使用tcp协议发送到80端口的数据包

tcp.flags.syn == 1              //显示syn标志位为1的数据包

过滤协议:

http                                  //只显示http协议的所有数据包

4.2.3、显示过滤器位置