wireshark 过滤器 过滤规则

wireshark 过滤器

wireshark有两种过滤器，一种是抓包过滤器，一种是显示过滤器，注意两种过滤器的过滤规则不一样。
抓包过滤器定义得当，就可以抓少量的包而达到目的，抓的包太多，wireshark会卡顿。

---

抓包过滤器

抓包过滤器，顾名思义是用来抓包的，抓包过滤器抓取数据包，显示过滤器过滤前者抓取的数据包。所以抓取过滤器的好坏也影响着显示效果。抓取过多无用的包，会造成wireshark卡顿。如果少抓或漏抓又满足不了需求。所以，抓包过滤规则至关重要。

---

抓包设置

capture—-options—-capture filters输入框，输入过滤规则，比如只抓取淘宝登录的包 host login.taobao.com ，点击start就开始抓包了。

---

预定义抓包规则

上一步骤，抓包成功。那我下次抓取淘宝的数据包，是不是还得输入一遍？当然不用，wireshark给我们提供了预定义规则暂存功能，免去重复输入的烦恼。
点击capture Filter——>new，输入过滤器名字和过滤规则，点击ok。这样以后想用的时候，直接调用就可以了。

有的时候，我想看看预定义的规则，那么capture—->capture filters即可。

---

常用抓包规则

来源或目的地是指定地址的包

host 192.168.0.123
host www.taobao.com

范围内的包

net 192.168.0.0/24

or

net 192.168.0.0 mask 255.255.255.0

抓取目的地是某范围的包

dst net 192.168.0.0/24

or

dst net 192.168.0.0 mask 255.255.255.0

抓取来源是某范围的包

src net 192.168.0.0/24

or

src net 192.168.0.0 mask 255.255.255.0

仅抓取DNS(端口是53)的包

port 53

更多样例可参考，抓包过滤器样例

---

显示过滤器

显示设置

在主界面filter输入框内，直接输入，点击apply。比如，只显示本地发出去的包

ip.src==192.168.8.60

过滤前

过滤后

---

常用显示规则

过滤从某地址发出的请求

ip.src==192.168.8.60

过滤发送到某地址的请求

ip.dst==192.168.8.60

过滤http协议

http

过滤某地址

http.request.uri=="/projectname/a.html"

过滤全地址（它与uri的区别是，包含host）

http.request.full_uri=="www.mydomain.com/projectname/a.html"

---

预定义显示规则

更多过滤规则，点击expression就可以显示