wireshark是一款抓包软件,常用来分析网络底层协议,寻找网络安全问题,平时用的最多的是过滤功能,wireshark的过滤分功能有两种,抓包过滤器和显示过滤器
抓包过滤器的过滤规则分为四个部分:放行,类型,协议和逻辑运算符
方向 src -- 源地址 dst -- 目标地址 类型 host -- 主机 net -- 网段 port -- 端口 协议 tcp,udp,http,ftp,ip 逻辑运算符 && -- 与 || -- 或 ! -- 非
抓包过滤器使用时,直接在过滤框中输入过滤规则即可
tcp -- 过滤tcp协议 host 192.168.1.100 -- 过滤IP src host 192.168.1.100 -- 过滤源地址IP port 80 -- 过滤80端口 src port 80 -- 过滤源地址的80端口 src host 192.168.0.1 && dst port 80 -- 过滤源地址IP并且到目标80端口的流量
显示过滤器提供了一些比较运算符(==,!=,>,<,>=,<=,contains包含)
http -- 过滤http协议 tcp && http -- 过滤tcp和http协议 http.accept -- 过滤http协议中包含accept头的包 pi.len <= 1500 -- 过滤ip长度
