随便写写

Wireshark是网络包分析工具,主要作用是在接囗实时捕捉网络包,并详细显示包的协议信息。

  • 可以捕捉多种网络接囗类型的包,包括无线局域网接囗。

  • 可以支持多种协议的解码,如TCP,DNS等。

过滤器

Wireshark的过滤器分为捕获过滤器和显示过滤器

  • 前者需要在捕捉前设置好,决定捕捉什么包

  • 后者在捕获过程中及结束后可以随时修改,只是显示捕获结果符合要求的包

捕获过滤器语法

这里很全:https://blog.csdn.net/qq_39720249/article/details/128157288

基于协议过滤

  • 例:只捕获端口为80的tcp数据包
1
tcp port 80

基于方向过滤

可以指定获取 源src 或是 目的dst 方向的数据包,也可以用 src and dst 或是 src or dst

  • 例:只捕获目的ip为本机ip的ipv4数据包
1
dst host <本机ip>

基于类型过滤

可选项有 主机host,网段net,端口port,端口范围portrange 等

  • 例:只捕获端口不为80的数据包
1
not port 80

显示过滤器语法

例:显示ip为本机ip的dns数据包

1
ip.addr == <本机ip> && dns

但是会发现这样什么包都没有。

将显示过滤器条件简化为dns后发现能正确找到相关dns数据包,但是其src和dst都是我本机的临时Ipv6地址。

将表达式更改为以下式子即可正确获取dns数据包

1
ipv6.addr == <本机ip> && dns