WireShark分为两个过滤器:
1.显示过滤器。
2.捕获过滤器。
我们分别来介绍一下
一、显示过滤器
基本语法:
- 比较操作符:==、!=、<、>、>=、=
- 逻辑操作符:and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
- IP地址:ip.addr(来源ip地址或者目标ip地址)、ip.src(来源ip地址限制)、ip.dst(目标ip地址限制)
- 协议过滤:arp、ip、icmp、udp、tcp、bootp、dns
在你选择好端口开始捕获分组的时候,在显示的界面进行一次过滤
可以理解为捕获所有的分组,但是在GUI显示上为你过滤了一次。
举个例子:
我们用cmd的ping指令找到百度的ip地址
然后我们用wireshark显示过滤一下
我们可以看到源ip 目的ip哪一个至少有一个是百度的ip地址。
注意看上图这是我们的tcp三次握手
(一共有6个是因为 2个tcp连接 端口号不同)
二、捕获过滤器
显示的都是tcp协议包(TSL是安全传输协议)