Wireshark
-
提供图形用户界面
-
支持Windows、Linux、macOS
-
过滤分析
#按IP地址过滤
ip.src == 192.168.1.1 #源IP地址
ip.dst == 192.168.1.1 #目标IP地址
ip.addr == 192.168.1.1 #过滤特IP地址(不区分源或目标)
ip.addr == 192.168.1.0/24 #过滤子网范围
#按MAC地址过滤
eth.src == 00:11:22:33:44:55 #源MAC地址
eth.dst == 00:11:22:33:44:55 #目标MAC地址
eth.addr == 00:11:22:33:44:55 #过滤特MAC地址(不区分源或目标)
#按端口号过滤
tcp.srcport == 80 #过滤TCP的源端口
tcp.dstport == 80 #过滤TCP的目标端口
tcp.port == 80 #过滤特定端口的TCP包(不区分源或目标)
udp.srcport == 53 #过滤UDP的源端口
udp.dstport == 53 #过滤UDP的目标端口
udp.port == 53 #过滤特定端口的UDP包(不区分源或目标)
#按协议类型过滤
tcp #过滤TCP包
udp #过滤UDP包
icmp #过滤PING包
http #过滤HTTP包
dns #过滤DNS包
ssl #过滤HTTPS包
#规则组
&& #AND(表示并且)
|| #OR (表示或者)
! #NOT(表示排除)
ip.src == 192.168.1.1 && tcp.dstport == 80 #过滤源IP地址为192.168.1.1且目标端口为80的TCP包
ip.src == 192.168.1.1 || ip.src == 10.0.0.1 #过滤源IP地址为192.168.1.1或10.0.0.1的流量
!ip.src == 192.168.1.1 #排除源IP地址为192.168.1.1的所有流量
#定位上传过大的流量
ip.src == 116.52.173.2 && frame.len > 1000
#定位下载过大的流量
ip.dst == 116.52.173.96 && frame.len > 1000
#连连控通过包头来抓
frame contains 41:73:6B:4C:69:6E:6B