wireshark使用~设置Filter

码到成功大将军
951 阅读1分钟

Filter的用途

wireshark使用~指定网卡 说了如何选择网卡interface。我们开始抓包后,会发现网卡有非常多的数据包,而一般我们只需要分析我们需要的数据包,这个时候就需要指定过滤条件Filter

wireshark可以指定2种Filter

  • Capture Filter:只抓取符合过滤条件的包。
  • Display Filter:在抓去包的基础上,只展示符合过滤条件的包。

Capture Filter

设置方法

  • Welcome界面,可以设置:
  • 在抓包界面可以重置:

Filter语法

可以参考Capture Filter wiki。 可以从服务host(如www.baidu.com/127.0.0.1)、net(如192.168.0.0/24)、port(如80/443)等设置过滤条件。

示例

还是以http://www.baidu.com为例,设置Capture Filterhost www.baidu.com

在浏览器输入http://www.baidu.com,就可以看到wireshark抓到的tcp请求了:

因为www.baidu.com的服务器设置了http协议强制重定向到https站点,所以我们看到抓到的包跟普通的tcp三次握手不太一样,多了一些TLSv1.2的协议。我们可以用curl http://www.baidu.com命令请求,就可以抓到http协议的包了。

Display Filter

设置方式

语法

参考 Build Display Filter

avatar
文章
阅读
粉丝