wireshark 過濾規則
工作上用的最多的是抓http的包,但http是應用層協議,不是傳輸層協議,所以抓下來的.pcap檔案中大量摻和著tcp的包,這嚴重影響閱讀,所以瞭解如何寫過濾規則極其重要!
過濾規則的拼接很簡單,就和寫sql語句一樣:and,or。
過濾項 | 語法 |
---|---|
協議 | 直接寫即可 |
IP | ip.src_host == xxx.xxx.xxx.xxx 以源ip過濾 ip.dst_host == xxx.xxx.xxx.xxx 以目的ip過濾 |
埠 | tcp.srcport == xxxx 以源埠過濾 tcp.dstport == xxxx 以目的埠過濾 tcp.port == xxxx 過濾所有使用tcp xxxx埠的包 |
舉個例子,我希望過濾訪問本機8000埠的所有http包
http and ip.dst_host==192.168.31.17 and tcp.dstport==8000