wireshark使用手册

1. 概述

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。支持windows、Linux、unix、macOS多种主流操作系统。

1. 下载

Wireshark · Download

1. 安装

您获得的Wireshark 二进制安装包可能名称类似Wireshark-setup-x.y.z.exe。Wireshark 安装包包含WinPcap，所以您不需要单独下载安装它。

1. 过滤器

Wireshark提供了两种过滤器。

捕获过滤器：在抓包之前就设定好过滤条件，然后只抓取符合条件的数据包。

显示过滤器：在已捕获的数据包集合中设置过滤条件，隐藏不想显示的数据包，只显示符合条件的数据包。

注意：这两种过滤器所使用的语法是完全不同的，想想也知道，捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来，显示过滤器就是Wireshark对已捕捉的数据进行筛选。

使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量，那么可以简单地使用捕获过滤器过滤掉它，从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候，使用捕获过滤器是相当好用的。

Wireshark拦截通过网卡访问的所有数据，前提是没有设置任何代理。

Wireshark不能拦截本地回环访问的请求，即127.0.0.1或者localhost。

1. 操作符

比较操作符

eq           ==

ne           !=

gt            >

lt             <

ge           >=

le            <=

逻辑操作符

and  &&

or     ||

xor   ^^

not   !

1. 捕获过滤器语法

捕获过滤器：在抓包之前就设定好过滤条件，然后只抓取符合条件的数据包。

点击Capture-Capture Filters

选择一个过滤器，双击一个接口。

示例：

tcp

icmp

dst port 80

dst portrange 80-8000

src www.baidu.com

1. 显示过滤器语法

显示过滤器：在已捕获的数据包集合中设置过滤条件，隐藏不想显示的数据包，只显示符合条件的数据包。

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

ip.src == 192.168.0.100

ip.dst == 192.168.0.100

ip.addr == 192.168.0.100

!( ip.addr == 192.168.0.100)

http or telnet

not arp

!tcp

tcp.port == 80

tcp.dstport == 80

ip.addr  == 192.168.0.100  and  icmp

eth.src == 38:D5:7A:9A:E1:09

ip.src == 192.168.0.100 && ip.dst == 192.168.0.200

tcp.dstport>=10 and tcp.dstport<=100

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！