wireshark 过滤器
wireshark有两种过滤器,一种是抓包过滤器,一种是显示过滤器,注意两种过滤器的过滤规则不一样。
抓包过滤器定义得当,就可以抓少量的包而达到目的,抓的包太多,wireshark会卡顿。
抓包过滤器
抓包过滤器,顾名思义是用来抓包的,抓包过滤器抓取数据包,显示过滤器过滤前者抓取的数据包。所以抓取过滤器的好坏也影响着显示效果。抓取过多无用的包,会造成wireshark卡顿。如果少抓或漏抓又满足不了需求。所以,抓包过滤规则至关重要。
抓包设置
capture—-options—-capture filters输入框,输入过滤规则,比如只抓取淘宝登录的包 host login.taobao.com ,点击start就开始抓包了。
预定义抓包规则
上一步骤,抓包成功。那我下次抓取淘宝的数据包,是不是还得输入一遍?当然不用,wireshark给我们提供了预定义规则暂存功能,免去重复输入的烦恼。
点击capture Filter——>new,输入过滤器名字和过滤规则,点击ok。这样以后想用的时候,直接调用就可以了。
有的时候,我想看看预定义的规则,那么capture—->capture filters即可。
常用抓包规则
来源或目的地是指定地址的包
host 192.168.0.123
host www.taobao.com范围内的包
net 192.168.0.0/24or
net 192.168.0.0 mask 255.255.255.0抓取目的地是某范围的包
dst net 192.168.0.0/24or
dst net 192.168.0.0 mask 255.255.255.0抓取来源是某范围的包
src net 192.168.0.0/24or
src net 192.168.0.0 mask 255.255.255.0仅抓取DNS(端口是53)的包
port 53更多样例可参考,抓包过滤器样例
显示过滤器
显示设置
在主界面filter输入框内,直接输入,点击apply。比如,只显示本地发出去的包
ip.src==192.168.8.60过滤前
过滤后
常用显示规则
过滤从某地址发出的请求
ip.src==192.168.8.60过滤发送到某地址的请求
ip.dst==192.168.8.60过滤http协议
http过滤某地址
http.request.uri=="/projectname/a.html"过滤全地址(它与uri的区别是,包含host)
http.request.full_uri=="www.mydomain.com/projectname/a.html"预定义显示规则
更多过滤规则,点击expression就可以显示
