过滤器:
捕获过滤器:表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包,不记录不符合条件的数据包。
显示过滤器:表达式作用在在wireshark捕获数据包之后,从已捕获的所有数据包中显示出符合条件的数据包,隐藏不符合条件的数据包。
过滤器语法:
- Protocol (协议) :该选项用来指定协议。可使用的值有ether、fddi、 wlan、 ip、arprarp、decnet、 lat、 sca、 moproc、 mopdl、 tcp 和udp.如果没有特别指明是什么
议,则默认使用所有支持的协议。 - Direction (方向) :该选项用来指定来源或目的地,默认使用src or dst作为关键该选项可使用的值有src、dst、 src and dst和src or dst。
- Host(s): 指定主机地址。如果没有指定,默认使用host 关键字。可能使用的值有
net、port、 host 和portrange. - Logical Operations (逻辑运算):该选项用来指定逻辑运算符。可能使用的值有and和or.其中,not (否)具有最高的优先级; or (或)和and (与)具有
优先级,运算时从左至右进行。 - Other expression (其他表达式) :使用其他表达式捕获过滤器。
过滤实例:
-
使用DNS过滤:在Wireshark的过滤栏中输入 dns.qry.name == "example.com" ,将"example.com"替换为你要过滤的域名。
-
使用HTTP过滤:在Wireshark的过滤栏中输入 http.host == "example.com" ,将"example.com"替换为你要过滤的域名。
-
使用TCP或UDP过滤:在Wireshark的过滤栏中输入 ip.addr == x.x.x.x and tcp.port == 80 ,将"x.x.x.x"替换为目标服务器的IP地址,"80"替换为目标服务器的端口号。
1、协议过滤
比如TCP只显示TCP协议,
2、IP过滤
比如ip.src==172.23.22.86显示源地址为172.23.22.86
ip.dst==172.23.28.240显示目标地址为172.23.28.240
ip.addr==172.23.28.240显示ip地址为172.23.28.240的数据包
3、端口过滤
tcp.port==8081,端口为8081的
tcp.srcport==8081,只显示TCP协议的源端口为8081的
4、Http模式过滤
http.request.method=="GET",只显示HTTP GET方法的
5、逻辑运算符为AND/OR
!tcp:显示非tcp协议的数据包
参考网址:
(捕获过滤器)https://zhuanlan.zhihu.com/p/272685665
(捕获过滤器)https://www.zhihu.com/question/36125941
(HTTP五层)https://blog.csdn.net/qq_45951891/article/details/134217064
(request)https://blog.csdn.net/qq_46662528/article/details/136758700
(HTTP包)https://blog.csdn.net/qq_45951891/article/details/134217064
测试网址:
http://www.w3.org/History/19921103-hypertext/hypertext/WWW/News/9201.html