Wireshark抓包工具的简单使用2（抓包、查看、过滤）

在简单了解了Wireshark的界面以及各工具栏的作用后，也要掌握如何进行抓包，查询，过滤等操作

一、抓包

1、打开软件，初始界面

2、点击Caputre-->Interfaces，出现当前所有的网卡信息，选择需要抓包的网段，点击Start

3、当抓取数据后，想要停止运行，点击Stop按钮

二、查看信息

1、抓包界面

• Display Filter(过滤器)，  用于过滤
• Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表协议类型不同
• Packet Details Pane(封包详细信息), 显示封包中的字段
• Dissector Pane(16进制数据)
• Miscellanous(地址栏，杂项)

三、过滤查询

掌握过滤技巧很重要，刚进行抓包时，会得到很多冗余的数据，使用过滤，会简单、直观地得到我们需要的信息

过滤器有两种：

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102"

表达式规则

1. 协议过滤

比如TCP，只显示TCP协议。

2. IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3. 端口过滤

tcp.port ==80,  端口为80的

tcp.srcport == 80,  只显示TCP协议的原端口为80的。

4. Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR