Wireshark使用

1、Wireshark過濾器的使用說明Wireshark中比較重要的過濾器，F(xiàn)ilter分Display Filter顯示過濾器、Capture Filter捕捉過濾器。1、 顯示過濾器顯示過濾器：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改。通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復雜。此時您可以使用顯示過濾器進行更加細致的查找。它的功能比捕捉過濾器更為強大，而且在您想修改過濾器條件時，并不需要重新捕捉一次。Display Filter就在一打開Wireshark的頁面，在所抓包的上方。如下圖：     如果抓出來的包 Protocol有DNS、

2、ARP、TCP、ICMP等，如要篩選出ICMP包，則在Filter輸入框中輸入：ICMP，然后Apply或者直接回車，則包的列表中就只顯示出ICMP包。如果過濾器的語法是正確的，表達式的背景呈綠色。如果呈紅色，說明表達式有誤。語法：Protocol.String 1.String 2ComparisonoperatorValueLogicalOperationsOtherexpression_r例子：ftppassiveip=xoricmp.typeProtocol（協(xié)議）:可以使用大量位于OSI模型第2至7層的協(xié)議。點擊過濾欄的按鈕按鈕后，您可以看到它們。String1, S

3、tring2 (可選項):Comparison operators （比較運算符）:可以使用6種比較運算符：英文寫法： C語言寫法： 含義：eq = 等于ne!=不等于gt>大于lt<小于ge>=大于等于le<=小于等于Logical expression_rs（邏輯運算符）:英文寫法： C語言寫法： 含義：and&&邏輯與or|邏輯或xor邏輯異或not!邏輯非操作舉例：在一個復雜的包中快速找出某個目標IP的數(shù)據(jù)包步驟1、點擊步驟2、進行下圖中的操作，點擊OK步驟3、過濾欄中出現(xiàn)下圖過濾語法，點擊Apply步驟4、顯示結果語法舉例 例2：顯示過濾語法語

4、法意思備注tcp.dstport 80| tcp.dstport 1025顯示目的TCP端口為80或者來源于端口1025只有當目的TCP端口為80或者來源于端口1025（但又不能同時滿足這兩點）時，這樣的封包才會被顯示。snmp|dns|icmp 顯示SNMP或DNS或ICMP封包ip.addr = 顯示來源或目的IP地址為的封包ip.src != | ip.dst != 顯示來源不為或者目的不為的封包來源IP：除了以外任意；目的IP：任意以及來源IP：任意；目的IP：除了10.4

5、.5.6以外任意ip.src != && ip.dst != 顯示來源不為并且目的IP不為的包來源IP：除了以外任意；同時須滿足，目的IP：除了以外任意tcp.port = 25顯示來源或目的TCP端口號為25的封包tcp.dstport = 25顯示目的TCP端口號為25的封包。tcp.flags顯示包含TCP標志的封包tcp.flags.syn = 0x02顯示包含TCP SYN標志的封包注：如果過濾器的語法是正確的，表達式的背景呈綠色。如果呈紅色，說明表達式有誤。2、 捕捉過

6、濾器捕捉過濾器：用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置。設置捕捉過濾器的步驟是：步驟1、選擇 capture -> options。2、填寫"capture filter"欄或者點擊"capture filter"按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。3、 點擊開始（Start）進行捕捉。（本網(wǎng)卡進行了telnet操作，但是未對該協(xié)議抓包）語法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression_r例子：tcpdst1

7、80andtcp dst 3128Protocol（協(xié)議）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議。Direction（方向）:可能的值: src, dst, src and dst, src or dst如果沒有特別指明來源或目的地，則默認使用 "src or dst" 作為關鍵字。例如，"host "與"src or dst

8、host "是一樣的。Host(s):可能的值： net, port, host, portrange.如果沒有指定此值，則默認使用"host"關鍵字。例如，"src "與"src host "相同。Logical Operations（邏輯運算）:可能的值：not, and, or.否("not")具有最高的優(yōu)先級?；?"or")和與("and")具有相同的優(yōu)先級，運算時從左至右進行。例如，"not tcp

9、 port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。舉例：tcp dst port 3128顯示目的TCP端口為3128的封包。ip src host 顯示來源IP地址為的封包。host 顯示目的或來源IP地址為的封包。src p

10、ortrange 2000-2500顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。not imcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）src host 2 and not dst net /16顯示來源IP地址為2，但目的地不是/16的封包。(src host 2 or src net /16) and tcp dst portrange 200-10000 and dst net /8顯示來源IP為2或者來源網(wǎng)絡為/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡/8內的所有封包。注意事項：當使用關鍵字作為值時，需使用反斜杠“”。"ether proto ip" (與關鍵字"ip"相同).這樣寫將會以IP協(xié)議作為目標。"ip proto icmp" (與關鍵字"