Wireshark wireshake数据包分割及捕包过滤器介绍

                                       wireshake数据包分割及捕包过滤器介绍

wireshake自带工具editcap分割数据包

操作：

进入到目录，然后 editcap.exe -c <输出文件所包含的数据包个数><要分割的数据包><被分割后的数据包名称前缀及后缀>

举例：

D:\Program Files\Wireshark>editcap.exe -c 60000 pcap_00012_20130130103516.pcap zhiye.pcap

 

附：Wireshark在线用户手册

http://man.lupaworld.com/content/network/wireshark

附：捕包过滤字段

http://man.he.net/man7/pcap-filter

 

常用捕包过滤器

src host host #仅捕源主机为host的数据包

举例：src host 10.5.8.185

 

host host #仅捕源主机为host或目的主机为host的数据包

举例：host 10.5.8.185

 

以上的任何一个过滤表达式都可以这样写在前面加些关键词：ip,arp,rarp,ip6,格式形如：ip host host，ip src host host，如果host是一个多ip主机名，则每个ip地址都会进行匹配检测并捕获

 

ether dst ehost #仅捕获目的主机为ehost的数据包，ehost可能是一个来自/etc/ethers的主机名或者一个数字

 

ether src ehost #仅捕获目的主机为ehost的数据包

 

ether host ehost #仅捕获目的主机为ehost或者源主机为ehost的数据包

 

gateway host #仅捕获网关为host的数据包

 

dst net net  #仅捕获给定网络的数据包，net可以是来自网络数据库的名字，或者一个网络号

举例：dst net 10.4 #捕获10.4网段的数据包

 

net net/len  #仅捕获给定网段的数据包

举例：net 10.4.0.0/16

 

port number #仅捕获指定端口number号的数据包

举例：捕获来自tcp、udp 端口80的协议数据包

port 80

 

tcp port http #捕获来自http tcp 端口80的数据包

 

tcp #仅捕获tcp协议数据包

 

udp #仅捕获udp协议数据包

 

dst port port  #仅捕获目标端口为port的数据包一般都是tcp,udp等占用的端口，端口可以是/etc/services的一个名字，也可以是个数字，如果名字存在歧义时仅进行端口数值的匹配

举例：dst port 137

 

src port port  #仅捕获源端口为port的数据包

举例：src port 455

 

dst portrange port1-port2 #仅捕获目的端口在port1到port2之间的数据包

举例：dst portrange 1-400

 

src portrange port1-port2  #仅捕获源端口在port1到port2之间的数据包

举例:dst portrange 1-400

说明：以上端口或端口范围表达式前可以加关键词：tcp、udp，形如:                   tcp

 

src port port  #仅捕获tcp协议且源端口为port端口的的数据包

 

less length  #仅捕获包长(个人理解：数据帧长度(Frame length))小于等于length的数据包等同 len <= length.

 

greater length #仅捕获包长大于等于length的数据包等同len >= length.

 

ip protochain protocol  等同ip6 protochain protocol,但是这个用于ipv4

 

ether broadcast  #捕获以太网广播包.

 

ip broadcast #捕获ipv4广播包，检测全0到全1的广播会话，并且查找正在捕包接口的子网掩码，如果捕包接口的子网掩码不可获取，可能是因为接口没设置子网掩码，或者捕包接口为linux的“any”任意接口，这样会捕获多余一个接口的数据，这个会导致捕包不正确

 

ether multicast #捕获以太网组播数据包

 

ip multicast #捕获ipv4组播数据包

 

ip6 multicast #捕获ipv6组播数据包

 

not broadcast and not multicast #不捕获广播和组播数据包

 

ip #仅捕获包含指定ip的数据包

 

not arp #不捕获arp数据包

 

decnet src host  #捕获DECNET源地址为host的数据包，host可以是一个DECENT主机名或者一个形如10.123的地址[DECNET   host  name  support is only available on ULTRIX systems that are configured to run DECNET.]

 

decnet dst host #捕获DECNET目的地址为host的数据包

 

decnet host host #捕获DECNET源地址或目的地址为host的数据包

 

ifname interface #捕获来自指定interface 的数据  (applies  only  to  packets  logged  by  OpenBSD's or FreeBSD's).

 

on interface   #同ifname interface.

 

rnr num  #捕获同指定pf规则号(applies only to packets logged by OpenBSD's or FreeBSD's)匹配的数据包