wireshark 過濾規則

勤匠發表於2024-06-28

wireshark 過濾規則

工作上用的最多的是抓http的包,但http是應用層協議,不是傳輸層協議,所以抓下來的.pcap檔案中大量摻和著tcp的包,這嚴重影響閱讀,所以瞭解如何寫過濾規則極其重要!

過濾規則的拼接很簡單,就和寫sql語句一樣:and,or。

過濾項 語法
協議 直接寫即可
IP ip.src_host == xxx.xxx.xxx.xxx 以源ip過濾
ip.dst_host == xxx.xxx.xxx.xxx 以目的ip過濾
tcp.srcport == xxxx 以源埠過濾
tcp.dstport == xxxx 以目的埠過濾
tcp.port == xxxx 過濾所有使用tcp xxxx埠的包

舉個例子,我希望過濾訪問本機8000埠的所有http包

http and ip.dst_host==192.168.31.17 and tcp.dstport==8000

相關文章