wireshark过滤抓包与过滤查看

在分析网络数据和推断网络故障问题中〔或叫网络嗅探器、抓包软件等等〕这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数件众多，比方ethereal〔wireshark的前身),wireshark,omnipeek,sniffer,科来网络〔被誉为国产版sniffer，符合我们的使用习惯〕等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark〔ethereal〕在对数据包的解码上，可以的是它们还是免费得，但是用wireshark〔ethereal〕来分析大量数据包并在大量数据包中快速推断问题所在，比较费时间，不能直观的反响出来，而且操作较为简单。像omnipeek,sniffer,科来网络这些软件是专业级网络分析软件，不仅仅能解码〔不过有些解码还是没有wireshark专业进展统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，假设想感受这类专业级的软件，我推举玩科来网络技术沟通版，免50wireshark技巧，说的不好，还请各位多教导批判。wireshark1.7wireshark1.61.7下面是wireshark1.6：〔看不清图，请点击放大〕点击图中那个按钮，进入抓包网卡选择，然后点击option进入抓包条件设置，就会翻开如以下图的对话框点击CaptureFilter〔法错误，会变成粉红色的框，正确完整的会变成浅绿色〕，Filtername是过滤条件命名，Filterstring是过滤的语法定义，设置好了，点击new域，下次要用的时候，直接选者你定义这个过滤条件名。下面是wireshark1.7界面有所变化，同样是点击option进入过滤编辑，如以下图：假设，左边的双击左边网卡可以直接进入过滤抓包设置对话框，中间是点击option后进入的对话框，再双击网卡进入下面的过滤抓包设置对话框，后面就跟wireshark的1.6版本一样了。下面聊聊过滤抓包语法，FilterstringcaptureFilter来已有的怎么定义的。要弄清楚并设置好这个过滤条件的设置，得弄清楚TCP/IP模型中每层协议原理，以及ARP，在数据链路层来看的，ARPethernet0x0806，假设站在网络层来说〔ARP2.5〕，我们的过滤语法可以这样写：这两个是等价的，抓得都是ARP包。或许有的朋友这里不太明白，建议去看《TCP/IP协议族》《TCP/IP协议详卷》等等原来书籍，先理解数据包构造。从这个设置来看，可以wireshark的过滤抓包多么深入了。现在我简洁讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filterstring写什么东西〕。组合过滤语法常使用的连接：过滤语法1and过滤语法2只有同时满足语法1和2数据才会被捕获过滤语法1or过滤语法2 只有满足语法1或者2任何一个都会被捕获not过滤语法 除该语法外的全部数据包都捕获常用的过滤语法说明：etherhostD0:DF:9A:87:57:9E定义捕获MACD0:DF:9A:87:57:9EMACMACMAC，都捕获这个数据包etherproto0x0806 定义了全部数据包中只要ethernet协议类型是0x0806假设我们用and来组合这两个语法：etherhostD0:DF:9A:87:57:9Eandetherproto0x0806〔etherhostD0:DF:9A:87:57:9Eandarp〕MACD0:DF:9A:87:57:9EARParp 该语法只捕获全部的arpip 该语法只捕获数据包中有IP〔这个语法可以用etherproto0x0800，由于ethernet0x0800ip〕host192.168.1.1该语法只捕获IP192.168.1.1它是源IPIPtcp 该语法只捕获全部是tcptcpport23 该语法只捕获tcp端口号是23udp 该语法只捕获全部是udpudpport53 该语法只捕获udp端口号是23的数据包不管源端口还是目标端口。port68 该语法只捕获端口为68的数据，不管是TCP还是UDP，不管该端口号是源端口，还是目标端口。以上是常用的过滤抓包语法，敏捷组合，就可以定位抓包。下面简洁举几个例子。这是个RadiusTCP还是UDPport1645orport1646来定义。这个过滤抓包语法的设置是，IP172.16.1.102的除了TCP协议不捕获外，其他全部数据都捕获。以上就是过滤抓包的语法简洁说明和介绍，最终如下操作就可抓包了。设置好就点击new抓了，点击ok之后，语法对的话，就会呈现浅绿色，语法不完整或错误就是粉红色，按下start就可以捕获自己想要的数据包了。wireshark定查找自己想要的数据包。Wireshark的过滤抓包查看语法深入包的细节了，草草看了至少有上百条语法。要很好的理解和运用这些语法，TCP/IP以如以下图深入查看过滤查看使用的语法。下面我只简洁介绍几个常用：eth.addreq00:08:d2:00:09:10 查找MAC00:08:d2:00:09:10MACMACeth.srceq00:08:d2:00:09:10查找源MAC地址为00:08:d2:00:09:10的数据包eth.dsteq00:08:d2:00:09:10查找源MAC地址为00:08:d2:00:09:10的数据包eth.typeeq0x0806 查找ethernet协议类型为0x0806〔ARP包〕的数据包ip.addreq10.1.1.2 查找IP10.1.1.2tcp.dstporteq80 查找TCP80tcp.srcporteq80 查找TCP80udp.srcporteq53 查找UDP53udp.dstporteq53 查找UDP53ip.addreq10.1.1.2andudp.srcporteq53定位查看IP10.1.1.2，UDP53下面是演示图：输入查看语法后，回车，wireshark查找数据，看数据包的大小打算查找时间，我抓了300M3正在查找包过滤查找出了自己想要的包了，使用wireshark且捕获的包又小。回想