菜单
本页目录

Wireshark

  • 下载地址

  • 提供图形用户界面

  • 支持Windows、Linux、macOS

  • 过滤分析

#按IP地址过滤
ip.src == 192.168.1.1       #源IP地址
ip.dst == 192.168.1.1       #目标IP地址
ip.addr == 192.168.1.1      #过滤特IP地址(不区分源或目标)
ip.addr == 192.168.1.0/24   #过滤子网范围

#按MAC地址过滤
eth.src == 00:11:22:33:44:55   #源MAC地址
eth.dst == 00:11:22:33:44:55   #目标MAC地址
eth.addr == 00:11:22:33:44:55  #过滤特MAC地址(不区分源或目标)

#按端口号过滤
tcp.srcport == 80    #过滤TCP的源端口
tcp.dstport == 80    #过滤TCP的目标端口
tcp.port == 80       #过滤特定端口的TCP包(不区分源或目标)
udp.srcport == 53    #过滤UDP的源端口
udp.dstport == 53    #过滤UDP的目标端口
udp.port == 53       #过滤特定端口的UDP包(不区分源或目标)

#按协议类型过滤
tcp      #过滤TCP包
udp      #过滤UDP包
icmp     #过滤PING包
http     #过滤HTTP包
dns      #过滤DNS包
ssl      #过滤HTTPS包

#规则组
&&   #AND(表示并且)
||   #OR (表示或者)
!    #NOT(表示排除)
ip.src == 192.168.1.1 && tcp.dstport == 80  #过滤源IP地址为192.168.1.1且目标端口为80的TCP包
ip.src == 192.168.1.1 || ip.src == 10.0.0.1 #过滤源IP地址为192.168.1.1或10.0.0.1的流量
!ip.src == 192.168.1.1                      #排除源IP地址为192.168.1.1的所有流量

#定位上传过大的流量
ip.src == 116.52.173.2 && frame.len > 1000

#定位下载过大的流量
ip.dst == 116.52.173.96 && frame.len > 1000

#连连控通过包头来抓
frame contains 41:73:6B:4C:69:6E:6B