【Wireshark】- 过滤器(2)

【Wireshark】- 入门篇(1)

【Wireshark】- 过滤器(2)

【Wireshark】- Statistics，Analyze菜单(3)

【socket】- Wireshark抓包分析TCP/IP三次握手和四次挥手

Wireshark有非常强大的过滤系统，可以满足我们快速分析数据包，如果加上配色规则，那么将带来很大的方便。当然，有强大的过滤系统，便会有相应的过滤规则。工欲善其事必先利其器。

过滤器在Wireshark可以分为“抓包过滤器”和“显示过滤器”。抓包过滤器配置在抓包前，一经应用，将不会抓取过滤器过滤掉的数据包。而显示过滤器只是在抓取到的数据包列表进行显示的过滤，方便跟踪自己想要分析的数据包。

Wireshark是基于tcpdump程序，tcpdump相关可以参考：

tcpdump教程

tcpdump介绍

在开始抓包前，除了可以选择需要抓包的网卡，同时可以选择过滤条件。capture filter for selected interfaces：点击左边的书签选择过滤条件。

可选择的过滤条件可以在菜单：Capture ->Capture Filters里面配置，下面是wireshark默认的配置条件。

点击“+”可以添加过滤条件，当然你也可以点击上面已经存在的修改其属性。左边是过滤的名称，右边是具体的过滤条件。

如果想要抓包过滤器中的过滤条件起反作用，可以在源条件前加“not”或者“!”。

eg:ether host <Ethernet host>和not ether host <Ethernet host>作用相反。

更多参考

Wireshark抓包过滤器生成工具

https://www.packetlevel.ch/html/txt/byte_offsets.txt

这里就贴两张图，学完上面的规则，加上显示过滤器的提示功能，应该可以自行配置的。

等等

参考：《Wireshark网络分析实战》

Wireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。

1、在如下链接下载“Wireshark”并在电脑上安装。Wireshark下载地址

2、如果之前没有安装过“Winpcap”请安装“Winpcap”的勾选上。

3、打开安装好的Wireshark程序，

4，上图2就是主界面，打开“Capture”－＞“Options”，

在最上面的Interface中选择电脑真实的网卡（默认下可能会选中回环网卡），选中网卡后，下面会显示网卡的IP地址，如图中是172.31.30.41，如果IP正确，说明网卡已经正确选择。

Capture Filter这一栏是抓包过滤，一般情况下可以不理会，留为空。

Display options就按照我们勾选的来做就行。好，点击Start。

现在已经在抓包，抓包结束，后点击上图中红框的按钮停止抓包。这样我们就抓到了数据包。再打开“File”－＞“Save”，

---