一、Wireshark常用的过滤规则
1.1 选取需要抓取流量的网卡口:
WALN ---指的是无线局域网;
VMware Network adapter VMnet1 --- 虚机的网卡口;
本地连接 --- 指的是有线网口;
以太网 --- 局域网;
VMware Network adapter VMnet1 -- 虚机的网卡口
1.2 根据源IP或者目的IP进行抓取数据包(选取的是虚拟机的那个网卡口):
ip.dst == 192.168.19.136 --抓取目的IP的数据包
ip.src == 192.168.19.1 --抓取源IP的数据包
ip.addr == 192.168.19.1 --抓取IP的数据包(不管是源还是目的IP)
1.3 根据端口进行抓取数据包
tcp.port == 22 --抓取只显tcp协议的端口22(不管是源还是目的IP)
tcp.srcport == 22 --抓取只显tcp协议的来源端口22
tcp.dstport == 22 --抓取只显只显tcp协议的来目的端口22
udp.port3301 抓取UDP端口筛选数据包,包括源端口或者目的端口
udp.srcport3301 抓取源UDP端口筛选数据包。
udp.dstport==3301 抓取目的UDP端口筛选数据包。
1.4 根据协议进行抓取数据包
udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl
只要在过滤器中输入所要抓取的协议的名字就可以。
1.5 根据http模式过滤
一般在测试过程中使用的GET和POST请求包比较多,所以就只列出这两种的数据包
http.request.method == “GET” 抓取GET包请求
http.request.method == “POST” 抓取POST包请求
响应包:
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
1.6 根据MAC地址进行过滤数据包
eth.dst == D0-57-7B-33-EB-0E;
eth.src == D0-57-7B-33-EB-0E;