Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
下面我只简单介绍几个常用:
eth.addr eq 00:08:d2:00:09:10 查找MAC等于00:08:d2:00:09:10的数据包,不过源MAC还是目标MAC
eth.src eq 00:08:d2:00:09:10 查找源MAC地址为00:08:d2:00:09:10的数据包
eth.dst eq 00:08:d2:00:09:10 查找源MAC地址为00:08:d2:00:09:10的数据包
eth.type eq 0x0806 查找ethernet协议类型为0x0806(ARP包)的数据包
ip.addr eq 10.1.1.2 查找IP地址为10.1.1.2的数据包
tcp.dstport eq 80 查找TCP目标端口为80的数据包
tcp.srcport eq 80 查找TCP源端口为80的数据包
udp.srcport eq 53 查找UDP源端口为53的数据包
udp.dstport eq 53 查找UDP目标端口为53的数据包
ip.addr eq 10.1.1.2 and udp.srcport eq 53 定位查看IP地址为10.1.1.2,UDP源端口为53的数据包。