文档声明:
以下资料均属于本人在学习过程中产出的学习笔记,如果错误或者遗漏之处,请多多指正。并且该文档在后期会随着学习的深入不断补充完善。感谢各位的参考查看。
笔记资料仅供学习交流使用,转载请标明出处,谢谢配合。
如果存在相关知识点的遗漏,可以在评论区留言,看到后将在第一时间更新。
作者:Aliven888
我们在日常开发中,处理网络问题时总是会选择抓包的形式,但是有时我们在服务器主机上抓取的数据包会有很多,为了方便查看目标源(或者符合某种条件的数据包)就显的尤为重要。下面是本人在日常开发中总结一些常用的WireShark筛选数据流的指令。
1、筛选经过 127.0.0.1 主机的所有数据包
>> ip.addr == 127.0.0.1
2、筛选目的地址是 127.0.0.1 的所有数据包
>> ip.dst == 127.0.0.1
3、筛选源地址是 127.0.0.1 的所有数据包
>> ip.src == 127.0.0.1
4、筛选从 127.0.0.1 到 127.0.0.2 的所有数据包
>> ip.src == 127.0.0.1 and ip.dst == 127.0.0.2
5、筛选源地址是 127.0.0.1 或者 127.0.0.2 的所有数据包
>> ip.src == 127.0.0.1 or ip.src == 127.0.0.2
6、筛选源地址是 127.0.0.1 且协议类型时 http(tcp) 的所有数据包
按协议类型筛选:http(tcp)
>> ip.src == 127.0.0.1 and http(tcp)
7、根据端口过滤固定源与目标:
ip.src == 192.168.0.2 and ip.dst == 192.168.0.233 and tcp.port == 965
8、根据包长过滤固定源与目标:
ip.src == 192.168.0.2 and ip.dst == 192.168.0.233 and tcp.len == 12