wireshark常用捕获、过滤规则

/ 0评 / 4

wireshark在分析网络协议的过程中,分为捕获过滤和显示过滤两种操作,下面简单介绍下常用的捕获和过滤规则。

wireshark常用捕获过滤规则

捕获单个ip地址的数据

捕获指定端口号的数据

结合ip和端口进行捕获

提示:尽量不要使用捕获过滤器,因为不当的捕获过滤规则可能会丢失数据,可以捕获所有数据,然后使用显示过滤过滤需要显示的数据。

wireshark常用显示过滤规则

根据协议进行过滤

根据应用进行过滤

根据字段进行过滤

http.host == "13.1.1.1" :显示发送/到达主句13.1.1.1的所有http请求。

http.request.method=="GET":显示get方式的http请求。 

http.response.code==302 : 过滤http响应状态码为302的数据包

http.request.uri=="/online/setpoint":过滤请求的uri,取值是域名后的部分

http.request.full_uri=="http://task.browser.360.cn/online/setpoint" : 过滤含域名的整个url则需要使用http.request.full_uri

http.request.full_uri contains "xmcdn":过滤请求的url中包含指定字符串的

ip.dst==192.168.101.8:显示目的地址为192.168.101.8的包,

ip.src==192.168.101.8:显示192.168.101.8发出的包

其他

选择捕获接口:比如我们想捕获手机上某个app发送的数据,这时我们可以使用电脑开启wifi,然后手机连接,使用wireshark捕获wifi接口上传输的数据即可。

捕获/选项(Ctrl+K)即可看到接口列表。选择自己想要捕获的接口即可。如下图

QQ截图20160621134737快速确定字段名:在上面我介绍了部分根据字段过滤,不过没有介绍全部的字段,如果我们想确定某一个字段怎么做呢?如下图,当选中一个数据包,展开点击具体字段,下面会显示出字段名,下图中选中了http协议中的Source Post,界面最下面标题栏里面显示的字段为:tcp.srcport

QQ截图20160621135030

 

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注