捕获数据技巧
在使用过滤器的时候wireshark是有自动补全功能的
根据单个IP地址过滤数据包
host 10.10.0.1:捕获目的地址和源地址为10.10.0.1的数据
host IPv6 :捕获IPv6地址的数据
not host IP :捕获除IP之外的数据
src host IP :捕获来自IP的数据
dst host IP :捕获到达IP的数据
host IP1 or host IP2 :捕获两个IP的数据
host www.xxx.com :捕获解析www.xxx.com的IP地址上的数据
根据广播和多播地址过滤数据
ip broadcast :捕获到255.255.255.255的数据
ip multicast :捕获通过224.0.0.0~239.255.255.255的数据
dst host ff02::1 :捕获所有主机到IPv6多播地址的数据
dst host ff02::2 :捕获所有路由到IPv6多播地址的数据
根据MAC地址过滤数据
ether host MAC地址1 :捕获MAC地址1的数据
ether src MAC地址2:捕获来自MAC地址2的数据
ether dst MAC地址3:捕获来自MAC地址3的数据
not ether host MAC地址4:捕获除MAC地址4以外的数据
根据端口号过滤A数据
port 80 :捕获端口号为80进出的数据
not port 80 :捕获除端口为80的所有数据
udp port 67 :捕获端口号67的数据(DHCP数据)
tcp port 21 :捕获端口号21的数据(FTP数据)
portrange 1-80 :捕获1到80端口的数据
tcp portrange 1-80 :捕获1-80端口的tcp数据
| 等于 | == | eq | ip.src == 192.168.0.1 | 显示来自192.168.0.1的所有数据 |
| 不等于 | != | ne | ip.src != 192.168.0.1 | 显示除来自192.168.0.1的所有数据 |
| 大于 | > | gt | frame.time_relative > 1 | 显示时间差超过一秒的数据 |
| 小于 | < | lt | tcp.windows_size < 1460 | 显示TCP接收窗口小于1460个字节的数据 |
| 大于等于 | >= | or ge | dns.count.answers >= 10 | 显示DNS响应包,要求该包中至少包含10个响应包 |
| 小于等于 | <= | or lt | ip.ttl < 10 | 显示TTL字段值小于10的数据 |
| 包含 | contains | http contain "GET" | 显示HTTP所有GET请求 | |
| 匹配 | matches | ftp.request.arg match "admin" | 匹配含有“admin”字符串的数据 |
参考书籍《Wireshark数据包分析实战详解》
--------------------------------一些基础技巧,入坑----------------------------------