抓包神器wireshark实战2过滤器

抓包前设置过滤

在主菜单上，选择“捕获>选项”：

常见的过滤：

• tcp
• tcp port host
• host 172.18.5.4
• port 53
• net 10.2.25.44 # 网关
• ether src 00:1c:7f:3e:e0:15
• tcp port 443 or tcp port 51045
• tcp[0:2] > 1500 # 端口大于1500
• net 192.168.0.0 mask 255.255.255.0

你可以为检查字节流创建广泛的捕获过滤器。捕获过滤器可以与以太网级别（ether[x:y]）、IP级别（ip[x:y]）、TCP级别（tcp[x:y]）或其他协议类型。

捕获过滤器（如tcp端口80）不应该与显示过滤器（如tcp.port == 80）相混淆。捕获过滤器的限制更多，用于减少原始数据包捕获的大小。显示过滤器用于隐藏一些数据包。

捕获过滤器是在开始捕获数据包之前设置的，在捕获过程中不能被修改。显示过滤器没有这个限制，你可以在捕获过程中修改它们。

显示过滤器简介

在过滤器工具栏中，输入一个不同的协议，如tcp，然后按回车键。

如果语法正确，背景变成绿色，如下图所示。

类似的过滤有：ftp, http, tftp, tftp.opcode == 4, ip.src==145.254.160.237, ip.dst ==145.254.160.237等

可以通过MAC地址等创建显示过滤器，右键单击地址，在弹出的菜单中，选择“作为过滤器应用>选中”，如下图所示：

eth.dst == 6e:1e:d7:11:6e:95　也可以修改为　eth.addr == 6e:1e:d7:11:6e:95

自定义显示过滤器

滤器。在Wireshark主窗口，点击过滤器工具栏右侧的添加按钮（+），如下图所示。

后面单击右上角的"我的过滤器"即可应用规则，

要删除一个按钮，再次点击添加（+）按钮，然后点击 "过滤器按钮首选项"。

右键的"我的过滤器"的弹出菜单也可删除。

显示过滤器:统计

设置显示过滤器 ip.addr == 172.65.253.13

在主菜单上，选择“统计 > Conversations”

选择 "显示过滤器的限制"，只显示那些与被过滤的数据包有关的对话。

选择"统计 > Endpoints"

选择 "显示过滤器的限制"，只显示那些与被过滤的数据包有关的端点。

更多过滤器：

• frame.len < 1514
• frame.len > 1514
• ip.src != 146.66.102.134
• tcp.srcport <= 443

显示过滤器:基于字段内容

执行ping china-testing.github.io

设置显示过滤器 icmp

过滤器icmp.type == 8只看请求，icmp.type == 0只看响应。not icmp.type 或not icmp看其他协议。

还可以根据序号来查看：frame[40-41] == 0004。

还可以基于关键词过滤，比如：

• telnet.data contains “CEST”
• lower(telnet.data) contains “cest”
• upper(telnet.data) contains “FULL MOON”