一、捕获过滤器

选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。

1)捕获单个IP地址

2)捕获IP地址范围

3)捕获广播或多播地址

4)捕获MAC地址

5)捕获所有端口号

6)捕获特定ICMP数据

当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。

在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置。

偏移量0表示ICMP字段类型,偏移量1表示ICMP位置代码字段。

二、显示过滤器

显示过滤器语法如下:

1)协议过滤器

2)应用过滤器

3)字段存在过滤器

字段名还有很多,可以在状态栏中找到对应的字段名:

4)特有过滤器

5)显示单个IP地址或主机

6)显示地址范围

7)显示一个子网IP

CIDR(无类型域间选路)格式使用ip.addr字段名定义一个子网过滤器。

斜杠和数字分别定义IP地址的网络部分和掩码位数。

子网掩码通过与IP地址做与操作,从而分离出 IP 地址中的网络部分与主机部分。

8)过滤单一TCP/UDP会话

tcp.stream eq 会话序号,在传输层数据中可以看到会话序号。

9)使用关键字

1. frame contains "string"搜索,在帧中搜索一个关键字

2. 字段名搜索,例如前面提到的http.request.method contains "get"

3. 搜索关键字时不区分大小写,上面那个搜索将搜不出结果,因为字段内容其实是“GET”大写的,修改http.request.method matches "(?i)(get)"

4. 搜索多个关键字,http.request.method matches "(?i)(get|post)"

5. 使用通配符,也就是正则表达式

10)时间过滤器

在物理层数据帧中有三个时间:

1. 距离上一个捕获的包的时间间隔

2. 从上次显示的包开始计时,距离上一个显示的包的时间间隔

3. 距离第一个捕获包的时间间隔,默认第一个数据帧的时间为0.000000

frame.time_delta 过滤的是第一种时间

在Packet List面板中默认加了Time列,表示的是第三种时间。

11)基于TCP的时间过滤

tcp.time_delta的计算与上一个类似,只是字段包含在TCP头部,如果要查看必须启用Calculate conversation timestamps选项。

选择Edit | Preference | Protocols | TCP:

在传输层数据段中多了两个表示时间的字段:

tcp.time_delta过滤的是第二种时间。

参考资料:

Wireshark网络分析的艺术

Wireshark数据包分析实战详解

wireshark中的时间格式

Wireshark网络抓包(二)——过滤器的更多相关文章

  1. Wireshark 网络抓包工具Wireshark的使用

    阅读目录 wireshark介绍 wireshark不能做的 wireshark VS Fiddler 同类的其他工具 什么人会用到wireshark wireshark 开始抓包 wireshark ...

  2. Wireshark网络抓包(一)——数据包、着色规则和提示

    一.数据包详细信息 Packet Details面板内容如下,主要用于分析封包的详细信息. 帧:物理层.链路层 包:网络层 段:传输层.应用层 1)Frame 物理层数据帧概况 2)Ethernet ...

  3. Wireshark网络抓包(三)——网络协议

    一.ARP协议 ARP(Address Resolution Protocol)地址解析协议,将IP地址解析成MAC地址. IP地址在OSI模型第三层,MAC地址在OSI第二层,彼此不直接通信: 在通 ...

  4. Wireshark网络抓包(四)——工具

    一.基本信息统计工具 1)捕获文件属性(Summary) 1. File:了解抓包文件的各种属性,例如抓包文件的名称.路径.文件所含数据包的规模等信息 2. Time:获悉抓包的开始.结束和持续时间 ...

  5. 模仿Wireshark网络抓包工具实现---c++

    最近在用Wireshark抓包工具的时候,老感觉这东西用起来很简单,功能强大,所以想了解他的实现原理,我就自己好奇写了一个实现基本功能的demo吧. 其实叫抓包工具,其实就是抓取流经自己网卡的所有ip ...

  6. 网络抓包--Wireshark

    Wireshark 是一款非常棒的Unix和Windows上的开源网络协议分析器.它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件.可以通过图形界面浏览这些数据,可以查看网络通讯数据 ...

  7. 网络抓包wireshark(转)

    转自 网络抓包wireshark   抓包应该是每个技术人员掌握的基础知识,无论是技术支持运维人员或者是研发,多少都会遇到要抓包的情况,用过的抓包工具有fiddle.wireshark,作为一个不是经 ...

  8. 网络抓包工具-Wireshark学习资料

    wireshark一个非常牛逼的网络抓包工具.转载一系列博文 一站式学习Wireshark(一):Wireshark基本用法 一站式学习Wireshark(二):应用Wireshark观察基本网络协议 ...

  9. 网络抓包wireshark

    抓包应该是每个技术人员掌握的基础知识,无论是技术支持运维人员或者是研发,多少都会遇到要抓包的情况,用过的抓包工具有fiddle.wireshark,作为一个不是经常要抓包的人员,学会用Wireshar ...

随机推荐

  1. 转发:招聘一个靠谱的 iOS

    觉得很瘦感触,因此转发:http://blog.sunnyxx.com/2015/07/04/ios-interview/ 近一年内陆续面试了不少人了,从面试者到面试官的转变让我对 iOS 招聘有了更 ...

  2. Python+Selenuim测试网站,只能打开Firefox浏览器却不能打开网页的解决方法

    最开始我使用的Selenium版本为2.48,Firefox版本为37,自动化打开网站的时候,可以正常打开. 后来由于Firefox的自检测更新,版本更新为47,导致版本不兼容,自动化打开网站浏览器时 ...

  3. JBPM4.4 基本使用

    JBPM工作流环境搭建: 1.先下载JBPM框架 2.安装JBPM图形编辑插件 注:插件在jbpm-4.4\install\src\gpd 目录下 创建工程导入JBPM依赖jar包 注:jar包目录j ...

  4. [iOS]使用signal让app能够在从容崩溃

    前言 虽然大家都不愿意看到程序崩溃,但可能崩溃是每个应用必须面对的现实,既然崩溃已经发生,无法阻挡了,那我们就让它崩也崩得淡定点吧. iOS SDK中提供了一个现成的函数 NSSetUncaughtE ...

  5. FragmentTabHost+FrameLayout实现底部菜单栏

    现在一般的app都使用底部菜单栏,那具体怎么实现的呢!我们就来看看 首先给大家展示一下布局文件 1 <LinearLayout xmlns:android="http://schema ...

  6. github上forck一个分支之后,如何和主分支同步

    github forck一个分之后,如果过一段时间就会和主分支的差异比较大. 这样提交pr的时候 就会冲突,这个时候我们就需要和主分支同步代码 git remote add upstream git@ ...

  7. STM32/GD32芯片信息(转)

    源:STM32/GD32芯片信息 因为需要自动适配芯片进行系统配置,所以我们有必要通过读取一些系统寄存器来获取必要信息.我们的代码需要兼容STM32F1/GD32F1/STM32F0/STM32F4 ...

  8. 【转】Linux正则表达式使用指南

    正则表达式是一种符号表示法,用于识别文本模式.Linux处理正则表达式的主要程序是grep.grep搜索与正则表达式匹配的行,并将结果输送至标准输出. 1. grep匹配模式 grep按下述方式接受选 ...

  9. JQueryUI确认框 confirm

    $(function(){ $('#AlertMsg').dialog({ autoOpen: false, width: 300, modal: true, position: 'center', ...

  10. JS 中 Class - 类创建

    Class - 类创建 Class类实现了在JavaScript中声明一个新的类, 并通过构造函数实例化这个类的机制.通过使用Class.create()方法, 你实际上声明了一个新的类, 并定义了一 ...