Wireshark 常用規則
阿新 • • 發佈:2018-03-06
wireshark常用過濾規則:
過濾IP地址: ip.addr == 192.168.47.2 過濾目的地址: ip.dst == 192.168.43.2 過濾源地址: ip.src == 59.110.42.77 過濾tcp 80端口和udp 80端口數據( || 表示或): tcp.port == 80 || udp.port == 80 過濾目的端口為80的數據: itcp.dstport==80 過濾源端口為80的數據: tcp.srcport==80 過濾協議(直接輸入協議名稱): http http模式過濾: 過濾get包,http.request.method=="GET" 過濾post包,http.request.method=="POST" 過濾兩種條件時,使用and連接: 過濾ip為192.168.101.8並且為http協議,ip.src==192.168.101.8 and http 過濾端口範圍: tcp.port?>=?1?and?tcp.port?<=?80 過濾MAC eth.dst?==?A0:00:00:04:C5:84?//?過濾目標mac eth.src?eq?A0:00:00:04:C5:84?//?過濾來源mac
其他功能說明:
追蹤一次完整數據交互的流:
follow —> TCP Stream
follow —> UDP Stream
附錄:
比如post一個表單,假如表單很大的話,會對tcp流進行分片。
在wireshark中顯示就是“TCP segment of a reassembled PDU”這樣一條數據;
Wireshark 常用規則