wireshark数据包过滤

数据包过滤是wireshark一个很实用的功能了，>通常我们抓包会抓取到网卡通过的所有数据包。

• 很多数据包对于我们来说是没用的，所以我们就需要对其进行过滤。
• 数据包的过滤可以分为        抓取时过滤        抓取后的过滤        这两种过滤的语法不同！ 抓取时过滤
• 捕获——>捕获过滤器        这是wireshark默认的一些捕获过滤器，        我们可以参照他的语法，自己在左下角自己添加或者删除捕获过滤器

• 

• 然后如果我们想抓取时对数据包过滤，
• 捕获——>选择，
• 然后选择我们要抓取数据包的网卡，在下面选择我们的过滤器。
• 绿色的话表示语法没有问题，设置好了之后点击开始就可以抓取数据包了

• 

  抓取后的过滤

  

  过滤语法

  

• 过滤地址        ip.addr==192.168.10.10        ip.addr eq 192.168.10.10 #过滤地址        ip.src==192.168.10.10 #过滤源地址        ip.dst==192.168.10.10 #过滤目的地址
• 过滤协议，直接输入协议名        icmp        http
• 过滤协议和端口        tcp.port==80        tcp.srcport==80        tcp.dstport==80
• 过滤http协议的请求方式        http.request.method=="GET"        http.request.method=="POST"        http.request.uri contains admin #url中包含admin的 http.request.code==404 #http请求状态码的
• 连接符        &&        ||        and        or
• 通过连接符可以把上面的命令连接在一起，比如：        ip.src==10.0.105.22 and tcp.port==80

• 

  点击下面获取学习链接 wireshark安装及网卡配置 wireshark数据包过滤 Wireshark 窗口介绍 Wireshark抓包TCP包头分析 Wireshark数据流追踪和信息说明 Wireshark抓包页面的登录信息