Table of Contents:

WireShark 过滤器

Wireshark 中有两种类型的过滤器:第一个是捕获过滤器,另一个是显示过滤器。

捕获过滤器
捕获过滤器在启动捕获操作之前建立,参数只记录和存储用户想要分析的流量,一旦捕获操作开始,就不可能修改这种类型的过滤器。

显示过滤器
显示过滤器包含适用于所有捕获数据包的参数,可以在启动捕获操作之前设置此类过滤器,然后再调整或取消它,还可以在操作进行时建立它,显示过滤器将数据保存在跟踪缓冲区中,隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。

❗❗❗ 注意:确保输入任何过滤器时显示过滤器背景为绿色,否则过滤器无效!

过滤ip
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104

ip.addr == 192.168.3.29
ip.src == 192.168.3.29
ip.dst == 192.168.3.29
ip.src == 192.168.3.29 || ip.addr == 192.168.3.29

过滤协议
ipv6 | tcp | udp | icmp |http

过滤端口
port 80
src port 80
dst port 80
tcp.srcport == 443
tcp.dstport == 443
tcp.port== 443

http
http.request.method == "POST"

例子:
udp && udp.srcport == 56887 && udp.dstport == 60004