Wireshark界面
1 处为写过滤规则的地方;点击一处的小标签可以出现如下界面;
里面有自带的过滤器,自己也可以通过命令添加,最低下的一个就是我添加的一个过滤器。
过滤规则
1.协议过滤
例如:
tcp ,udp, arp, icmp, http, smtp ,ftp, dns, msnms, ip, ssl ,oicq ,bootp
这些直接输入框中。
2.IP过滤
形式为 ip.src == IP地址 显示源地址为当前IP的封包;
形式为 ip.dst == IP地址 显示目标地址为当前IP的封包;
形式为 ip.addr == IP地址 显示目标地址和源地址为当前IP的封包;
3.端口过滤
tcp.port == 80 只显示端口为80
tcp.srcport == 80, 只显示TCP协议的愿端⼝为80的。
tcp.dstport == 80 只显tcp协议的目标端口80
tcp.srcport == 80 只显tcp协议的来源端口80
这两个与IP中后缀 dst 表示目标,src表示来源。
tcp.port >= 1 and tcp.port <= 80
若要有范围这样写表示端口为1到80的;
4.http过滤
http.request.method == “GET” 只显示HTTP GET⽅法的;
http.request.method == “POST” 只显示HTTP POST⽅法的;
6.逻辑运算符
and 和 or
and表示且;or 表示或。