概述:
windows平臺流行的網絡分析工具,可以捕捉網絡中的數據,提供關於網絡和上層協議的各種信息,當你的機器上有多塊網卡的時候,你需要選擇一個網卡;為了安全考慮,wireshark只能查看封包,而不能修改封包的內容,或者發送封包。
顯示過濾器表達式
a.用於在捕捉結果中進行詳細查找
b.用於過濾抓包數據,方便stream的追蹤和排查
c.顯示過濾器既支持協議過濾也支持內容過濾
1. 基於協議過濾
arp|icmp|http|tcp|udp|not icmp
2. 基於ip過濾
ip.src_host eq 192.168.88.100
3. 基於tcp流|端口|標誌位等信息
tcp.stream eq 5
tcp.port > 100 and tcp.port < 1000
tcp.{srcport,dstport} eq 80
tcp.flags.syn eq 0x12
tcp.ack
tcp.len
4. 基於http請求方法,包含的字符串
http contains "api"
http.request.method == "POST"
http.host == "tracker.1ting.com"
http.request.uri contains "online"
5. 過濾條件邏輯運算符
and or not(!) eq(==) > 等
6. 過濾廣播及組播包
not broadcast and not multicast
7. mac地址過濾
eth.dst == A0:00:00:04:C5:84
捕獲過濾器表達式: capture filter
a.用於決定將什麼樣的信息記錄在捕捉結果中
b.捕捉過濾器在抓抱前進行設置,決定抓取怎樣的數據
c.捕捉過濾器僅支持協議過濾
過濾條件與顯示過濾器添加一樣, 需要注意是要在抓包前設置好.