-
Win10 WireShark 若没有找到接口
安装Win10Pcap。 下载地址:http://www.win10pcap.org/download/
- 非:
!ornot - 且:
&&orand - 或:
||oror
- 显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。
ip.addr == 192.168.1.1//显示所有目标或源地址是192.168.1.1的数据包ip.dst == 192.168.1.1//显示目标地址是192.168.1.1的数据包ip.src == 192.168.1.1//显示源地址是192.168.1.1的数据包eth.addr == 80:f6:2e:ce:3f:00//根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址”ip.src==192.168.0.0/16//网络过滤,过滤一个网段
- 捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避免产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。
host 192.168.1.1//抓取192.168.1.1 收到和发出的所有数据包src host 192.168.1.1//源地址,192.168.1.1发出的所有数据包dst host 192.168.1.1//目标地址,192.168.1.1收到的所有数据包src host hostname//根据主机名过滤ether host 80:05:09:03:E4:35//根据MAC地址过滤net 192.168.1//网络过滤,过滤整个网段src net 192.168//根据源IP过滤dst net 192//根据目标IP过滤
- 仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。
- 表达式为:
http
- 表达式为:
- 需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
- 表达式为:
http or telnet(多种协议加上逻辑符号的组合即可)
- 表达式为:
- 排除某种协议的数据包
- 表达式为:
not arp或!tcp
- 表达式为:
- 捕获某一端口的数据包
- 表达式为:
tcp.port == 80
- 表达式为:
- 捕获多端口的数据包,可以使用
and来连接, - 下面是捕获高端口的表达式
- 表达式为:
udp.port >= 2048