3.5 常见用显示过滤需求及其对应表达式

3.5.1 数据链路层

筛选mac地址为04:f9:38:ad:13:26的数据包
eth.addr == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包
eth.src == 04:f9:38:ad:13:26

打开Expression，找到Ethernet，可以参考下面的表达式

3.5.1 网络层

筛选ip地址为192.168.1.1的数据包
ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据
ip contains 192.168.1
筛选192.168.1.1和192.168.1.2之间的数据包
ip.addr == 192.168.1.1 && ip.addr == 
192.168.1.2
筛选从192.168.1.1到192.168.1.2的数据包
ip.src == 192.168.1.1 && ip.dst == 
192.168.1.2

3.5.1 传输层

筛选tcp协议的数据包
tcp
筛选除tcp协议以外的数据包
!tcp
筛选端口为80的数据包
tcp.port == 80
筛选12345端口和80端口之间的数据
tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据包
tcp.srcport == 12345 && tcp.dstport == 80

3.5.1 应用层

注：
http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1）
http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。
筛选url中包含.php的http数据包
http.request.uri contains .php
筛选内容包含username的http数据包
http contains username

URL和URI区别

URL（locater）：统一资源定位符，找到路经

URI（identification）：统一资源标识符

URL是URI的子集

三、wireshark分析TCP三次握手

1. 过滤阿里云服务器

设置过滤阿里云服务器的IP地址

ip.addr == 123.56.136.14

由于目前尚未与服务器有数据传输，故监听不到数据包

2. 连接阿里云TCP服务端

需要安装一个网络调试助手辅助操作

百度网盘链接:

https://pan.baidu.com/s/1EK4jgQr3jeBTipa5N5Qi0A?pwd=v4zg

协议类型选择TCP Client，远程主机地址填写阿里云服务器IP地址，端口根据服务器具体端口开发情况设置

连接后，在Wireshark会看到，出现三条数据包信息（TCP三次握手）

参考下图，方便理解

2.1 TCP第一次握手数据包

客户端发送一个TCP，标志位为SYN=1， 代表客户端请求建立连接。等待服务器收到数据包后，客户端变为监听状态。

2.2 TCP第二次握手数据包

服务器发回确认包， 标志位为 SYN，ACK。

SYN=1表示已经同步数据包

ACK=1表示确认收到

seq设为0，即服务器发出的第0个数据包

将确认序号设置为客户的seq加1，即ack=0+1=1,

2.3 TCP第三次握手数据包

客户端再次发送确认包，SYN标志位为0，ACK标志位为1。

seq=0+1=1，客户端发送的第二个包，编号为1

ack=0+1=1，回复给服务器，表示服务器发出的0数据包已经收到

至此，三次握手完成

四、wireshark分析TCP四次挥手

1. 断开阿里云服务器连接

我们用客户端主动释放连接为例，在网络调试助手中，点击断开

在Wireshark页面中发现多出四行数据包，很显然，两次释放数据包，两次确认数据包

我们接着分析

2. TCP第一次挥手数据包

客户端主动释放连接，将结束报文端标志FIN设为1，ACK设为1，表明这是一个连接释放报文段，同时对之前接收到的报文段进行确认。

seq=1告诉服务器，这是客户端发送的序号为1的数据包

ack=1告诉服务器，之前发的0号数据包已经收到

客户端进入终止等待1状态

3. TCP第二次挥手数据包

服务器进程接收到TCP连接释放报文段后，会发送一个普通的TCP确认报文段并且进入关闭等待状态。

此时TCP客户进程到服务器进程这个方向的连接就释放了，这时的TCP连接属于半关闭状态，也就是TCP客户进程已经没有数据要发送了。

但是TCP服务器进程如果还有数据需要发送，客户进程则还需要接收，这个状态可能会持续一段时间，直到TCP服务器进程将数据发送完毕。

4. TCP第三次挥手数据包

服务器传输剩余数据，当TCP服务器进程没有数据要发送后，释放连接，TCP服务器进程发送TCP连接释放报文段并进入最后确认状态，FIN=1，ACK=1

5. TCP第四次挥手数据包

客户端收到TCP连接释放报文段后，针对该报文段发送最后一次确认报文段。客户端此时处于时间等待状态，等服务器收到后关闭，客户端等待2msl后也进入关闭状态