用了很长时间的Wireshark网络流量分析工具,不敢说自己掌握的有多么深刻,但是一些常用的基本操作还是信手拈来的,时间久了之后难免会忘记,在这里就记录一下。

过滤器

没有使用过过滤器==没有使用过Wireshark(为什么两个=,众所周知,一个=是赋值^_^)。

过滤IP※

  • ip.src ==112.53.42.42

    • 显示源地址为112.53.42.42的数据包列表

  • ip.dst==112.53.42.42

    • 显示目标地址为112.53.42.42的数据包列表

  • ip.addr == 112.53.42.42

    • 显示源IP地址或目标IP地址为112.53.42.42的数据包列表

过滤协议※

比较简单,直接在Filter框中直接输入协议名即可。

  • tcp,只显示TCP协议的数据包列表

  • http,只查看HTTP协议的数据包列表

  • icmp,只显示ICMP协议的数据包列表

注意:协议名称需要输入小写。

过滤端口

  • tcp.port ==80

    • 显示源主机或者目的主机端口为80的数据包列表。

  • tcp.srcport == 80

    • 只显示TCP协议的源主机端口为80的数据包列表。

  • tcp.dstport == 80

    • 只显示TCP协议的目的主机端口为80的数据包列表。

http模式过滤

http.request.method==”GET”, 只显示HTTP GET方法的。

根据数据包的内容过滤(※)

一开始,我使用的是tcp contains "api"

意思是,过滤所有tcp报文中含有api字段的所有数据包。

但是最近看的还有更精确的过滤方式,就是data contains "api"但是我感觉上面的一种更加的全面,因为tcp报文属于传输层的协议,在封包的过程中往往会包含应用层、会话层的数据包,所以会更好一点。