Wireshark基本设置

相关基础教程:Wireshark使用教程
官方文档:Wireshark官方文档

过滤器配置

Wireshark提供两种包过滤配置方法

  • 抓包过滤器:在捕捉流经网卡的流量的时候进行过滤
    image
  • 显示过滤器:在分析结果的时候过滤数据,便于观察
    image

抓包过滤器

抓包过滤器遵循BPF(伯克利封包过滤器)语法,分为四个核心要素。典型的BPF格式规则如src host 192.168.1.1 && tcpdst port 80 and udp

  1. 协议类型:ip,tcp,udp,icmp等
  2. 比较操作符:==,!=,>,<,<=,>=
  3. 逻辑操作符:&&(and),||(or),!(not)
  4. 端口过滤:port,src port,dst port
  5. 地址过滤:src host,dst host
  6. 子网过滤:net 192.168.1.0/24(过滤该子网所有流量)
  7. 长度过滤:len > 100(过滤数据包长度大于100字节)

显示过滤器

显示过滤器的语法包含5个核心元素,其通过逻辑操作符自由组合。如 tcp.dstport == 21 || udp

  1. IP地址:ip.addr,ip.src,ip.dst
  2. 端口:tcp.port,tcp.srcport,tcp.dstport
  3. 协议:ip,tcp,icmp,udp
  4. 笔较运算符:==,!=,>=,<=,……
  5. 逻辑运算符:&&(and),||(or),!(not)