抓包工具WireShark分为两种过滤器:
捕捉过滤器(CaptureFilters)
显示过滤器(DisplayFilters)
捕捉过虑器语法:
Protocol Direction Host Value LogicalOperations OtherExpression
Tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128
Protocol可能的值:ether、fddi、ip、arp、decnet、lat、sca、moprc、tcp and udp,默认全部
Direction可能的值:src、dst、src and dst、src or dst,默认使用src or dst
Host可能的值:net、port、host、portrange,默认使用host。
例: src 10.1.1.1 与 src host 10.1.1.1相同
LogicalOperations可能的值:not、and、or
显示过滤器语法:
Protocol.String1.String2 ComparisonOperator value LogicalOperation OtherExpression
Ftp.passsive.ip == 10.2.2.2 xor icpm.type
ComparisonOperator可能的值:==、!=、>、<、>=、<=
LogicalOperation可能的值:and &&、or ||、xor ^^、not !
例子:snmp||dns||icmp //显示snmp或dns或icpm包
Ip.addr == 10.1.1.1 //显示来源或目的ip为10.1.1.1的包
Ip.src != 10.1.1.1 or ip.dst!=10.2.2.2 //显示来源不为10.1.1.1或目的不为10.2.2.2.的包
Tcp.port == 25 //显示来源或目的的TCP端口为25的包
Tcp.dstport ==25
Tcp.flags //显示包含TCP标志的包
Tcp.flags.syn == 0x02 //显示包含TCP SYN标志的包
本机既作为客户端又作为服务端,需要设置才可以让wireshark抓到数据:
1、管理员运行cmd
2、Route add 本机ip mask 255.255.255.255 网关ip