Wireshark作為一個(gè)經(jīng)典老牌的網(wǎng)絡(luò)抓包分析工具，其2.9.0版是很多用戶所喜歡的版本之一，它為為網(wǎng)絡(luò)工程師，網(wǎng)絡(luò)架構(gòu)師，應(yīng)用工程師，網(wǎng)絡(luò)顧問和其他IT專業(yè)人員的網(wǎng)絡(luò)故障排除工作提供了強(qiáng)有力的技術(shù)支持，是保護(hù)，分析和維護(hù)高效的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的最佳實(shí)踐教育工具。

【過濾規(guī)則介紹】

　　使用過濾是非常重要的， 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。過濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

　　過濾器有兩種，一種是顯示過濾器，就是主界面上那個(gè)，用來在捕獲的記錄中找到所需要的記錄；一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 下面就來簡單說一下過濾規(guī)則。

　　1、過濾IP，如來源IP或者目標(biāo)IP等于某個(gè)IP

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能顯示來源IP和目標(biāo)IP

　　2、過濾端口

　　例子:

　　tcp.port eq 80 // 不管端口是來源的還是目標(biāo)的都顯示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只顯tcp協(xié)議的目標(biāo)端口80

　　tcp.srcport == 80 // 只顯tcp協(xié)議的來源端口80

　　udp.port eq 15000

　　過濾端口范圍

　　tcp.port >= 1 and tcp.port <= 80

　　3、包長度過濾

　　例子:

　　udp.length == 26 這個(gè)長度是指udp本身固定長度8加上udp下面那塊數(shù)據(jù)包之和

　　tcp.len >= 7   指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身

　　ip.len == 94 除了以太網(wǎng)頭固定長度14,其它都算是ip.len,即從ip本身到最后

　　frame.len == 119 整個(gè)數(shù)據(jù)包長度,從eth開始到最后

　　eth —> ip or arp —> tcp or udp —> data