wireshark过滤器 Wireshark过滤器

只显示ARP请求帧，显示过滤器的写法

1. arp：显示所有ARP流量，包括 ARP、ARP 和ARP reply。 ip ipv6 TCP

过滤器过滤器

2. 应用过滤器 bootp：显示所有 DHCP 流量（基于 BOOTP）； dns：显示所有 DNS 流量，包括基于 TCP 传输和 UDP 的 DNS 请求和响应； tftp：显示所有 TFTP（简单文件传输协议

3. Field bootp..

没有过滤器

您可以在不过滤的情况下执行此操作：

1.捕获过滤器

抓包过滤器：在抓包前设置过滤条件，只抓包满足条件的包。

2.显示过滤器

显示过滤：在抓取的数据包集合中设置过滤条件，隐藏不想显示的数据包，只显示符合条件的数据包。

过滤器 ip.addr、ip.src 和 ip.dst 之间有什么区别？

最常用的自然是IP地址的过滤。 有几种情况：

(1)过滤源地址为192.168.0.1的包，即抓取源地址符合要求的包。

表达式为：ip.src == 192.168.0.1

(2)过滤目的地址为192.168.0.1的报文，即捕获目的地址符合要求的报文。

表达式为：ip.dst == 192.168.0.1

(3)过滤源地址或目的地址为192.168.0.1的报文，即捕获源地址或目的地址为192.168.0.1的报文。

表达式为：ip.addr == 192.168.0.1，或ip.src == 192.168.0.1或ip.dst == 192.168.0.1

(4)排除以上数据包，我们只需要用括号括起来，然后用“!”即可。

表达式是：!(表达式)

【】过滤表达式语法

世界上有两种类型的过滤器，捕获过滤器和显示过滤器。

使用适当的过滤器不仅可以提高数据分析的灵活性，还可以让分析人员更快地看到他们想要的分析对象。

BPF ( ) 代表 ，这是一种非常强大的过滤语法。 这种语法广泛用于各种数据包嗅探软件，因为大多数数据包嗅探软件都依赖于使用 BPF 的 / 库。 比如，等等。

捕获过滤器：只捕获过滤器设置的数据，不收集其他数据，用于定向分析问题。

显示过滤器：显示捕获数据的设置。 只是没有显示的数据还在内存中，可以通过修改显示过滤器来显示，不适合大流量的场景。

捕获过滤器语法规则BPF()，使用搜索“BPF语法”搜索了很多相关内容。

显示过滤器是对抓取的数据进行显示过滤器设置。 是自己的文法，可以用生成过滤表达式。

基本用法和表达式语法

6.与

入门级和高级系列的通用捕获过滤器

BPF过滤规则

设置为阻止进程上网

修改TTL值为1，对比一下ping百度前后的图片。

修改前ping通，修改后ping不通。

TTL：数据包的生命周期。 网络设备每通过一次网络，其值为-1，linux默认值为64。

TTL作用：防止数据包在公网无限转发。

2、同时抓取icmp包，显示发送的两个包的TTL值为1； 当 TTL 值更改为 2 时，捕获的数据包的 TTL 值也为 2； 更改为默认值后，它返回到原始状态。

3.扩展：mtr网络分析工具

1）安装地铁

2）开始地铁

3）mtr测试结果分析

第一列：host显示本机的IP地址和域名，和那个很像；

第二列：loss%是IP行对应的丢包率。 需要注意的是，有些丢包是icmp的保护机制造成的，并不代表真正的丢包；

第三列：snt每秒发送的数据包数，默认值为10，可以通过参数-c指定包数；

第四列：Last显示的最新返回延迟；

第五列：Avg是平均值，应该是发送ping包的平均延迟；

第六列：Best是最好的或者最短的延迟；

第七列：Wrst 是最差或最常见的延迟；

第八列：StDev是标准差，一个统计术语，衡量数据分布离散程度的标准，用来衡量数据值偏离算术平均值的程度。 标准偏差越小，数值偏离均值的程度就越小。

配置

除了官网，关于配置的文章很少。 由于研究需要，需要了解配置，所以翻译了官网的一些资料。

说明本文主要翻译官网内容，可能根据本人理解有所改动，可能存在一些错误，敬请谅解。

可能是因为软件本身比较复杂，导致很多配置，都在不同的文件夹下，理解起来很麻烦。

unix/linux文件夹下的配置文件/文件夹说明

1）对话框首选项 /etc/.conf $HOME/./ %%\.conf, %%\\

2) GUI设置(最近文件列表) $HOME/./%%\\

3）抓取过滤$$HOME/./%%|%%\\

4) 显示过滤器 $HOME/./ %%|%%\\

5）颜色规则 $HOME/./%%|%%\\

6) 禁止协议 $HOME/./ %%|%%\\

7）以太网名称解析/etc/$HOME/./%%|%%\\

**8)manuf ** 以太网名称解析 /etc/manuf $HOME/./manuf %%|%%\\manuf

9) 主机IPV4和IPV6名称解析 /etc/hosts , $HOME/./hosts %%|%%\\hosts

10）IPV4子网名解析/etc/$HOME/./%%|%%\\

11）IPX名称解析/etc/$HOME/./%%|%%\\

12）插件目录 /usr/share// /usr/local/share// $HOME/./ %%|%%\\

13) Temp临时文件环境变量： : or TEMP

以下目录说明：

%% 指向个人配置文件夹，例如：( C:\ and \

\Data 有关详细信息，请参阅：第 A.3.1 节，“配置文件”），

%% 指向程序文件夹，例如：C:\Files\

/.conf

该文件包括配置，包括默认抓包和显示数据包等。简单文本语句的显示格式如下：

：价值

该配置在程序启动时被读取，当您更改“首选项”时数据被写入文件。

可以看看界面，内容还是挺丰富的。

，此文件包含各种 GUI 相关设置，如主窗口位置和大小、最近文件列表等。它是一个简单的文本文件，包含以下形式的语句：

：价值

该文件包含所有已定义和保存的捕获过滤器。 它由一行或多行组成，每行包括以下格式：

“

“

在捕获过滤器对话框中按“保存”按钮时保存到文件，程序启动时读取配置

该文件包含所有已定义和保存的显示过滤器，它由一行或多行组成，每行包含以下格式：

“

“

该文件包含所有已定义和保存的颜色过滤器，它由一行或多行组成，每行包括以下格式：

程序启动时读取，在颜色规则对话框中设置保存按钮时保存。

每行代表一个被禁止的协议名称，下面给出了一些示例：

当尝试将以太网硬件地址转换为名称时，它会查找表 A.1“配置文件和文件夹概述”中列出的文件。 如果在 /etc/ 中找不到该地址，它将查找 $HOME/./

这些文件中的每一行都包含一个硬件地址和一个由空格分隔的名称。 硬件地址的数字由冒号 (:)、破折号 (-) 或句点 (.) 分隔。 这里有些例子：

在启动时读取，但不写入。

使用表 A.1“配置文件和文件夹概述”中列出的文件将以太网地址的前三个字节转换为制造商名称。 该文件与文件具有相同的格式，但地址为三个字节长。

一个例子是：

在启动时读取，但不写入。

使用表 A.1“配置文件和文件夹概述”中列出的文件将 IPv4 和 IPv6 地址转换为名称。

该文件的格式与 Unix 系统上常用的 /etc/hosts 文件相同。

一个例子是：

只加载，不写入。

使用表 A.1“配置文件和文件夹概述”中列出的文件将 IPv4 地址转换为子网名称。 如果找不到来自主机文件或 DNS 的完全匹配项，将尝试对地址的子网进行部分匹配。

该文件的每一行都包含一个 IPv4 地址、一个仅由“/”分隔的子网掩码长度以及一个由空格分隔的名称。 虽然地址必须是完整的 IPv4 地址，但任何超出掩码长度的值都会被忽略。

一个例子是：

部分匹配的名称将打印为“-name.-”。 例如，上述子网下的“192.168.0.1”将打印为“.1”； 如果上面的掩码长度是 16 而不是 24，打印的地址将是“.0.1”。

此文件中的设置在程序启动时读入，永远不会被写入。

使用表 A.1“配置文件和文件夹概述”中列出的文件将 IPX 网络号转换为名称。

一个例子是：

此文件中的设置在程序启动时读入，永远不会被写入。

在表 A.1“配置文件和文件夹概述”中列出的目录中搜索插件。 按列出的顺序搜索它们。

如果您开始新的捕获并且没有为其指定文件名，则使用该目录来存储文件； 参见第 4.7 节，“捕获文件和文件模式”。

如果您开始新的捕获并且没有为其指定文件名，则使用该目录来存储文件； 参见第 4.7 节，“捕获文件和文件模式”。

它能抓取局域网内所有的IP地址吗？

它可以抓取局域网内的所有IP数据包，只要是监听连接到局域网的网络接口，它就可以抓取通过该网络接口传输的所有数据包，包括局域网内的所有IP数据包。

要捕获局域网中的所有 IP 数据包，您需要打开并选择要监控的网络接口。 这可以通过单击窗口中的“ ”按钮来完成，然后选择您要捕获的网络接口，例如以太网接口、无线接口等。

然后你可以点击窗口中的“开始”按钮开始抓包。 通过该网络接口传输的所有数据包都将被捕获，包括 LAN 内的所有 IP 数据包。 如果您想进一步过滤数据包以查看特定 IP 流量，可以使用过滤功能来完成。

需要注意的是，它是一款功能强大的网络抓包工具，需要一定的网络和技术知识才能使用。 如果您不熟悉网络和数据包的工作原理，建议在使用前了解相关知识，谨慎操作。

如何抓取指定网站的数据包？

运行软件，选择无线网络连接，点击开始，进入抓包界面，在（过滤）框中输入http。 点击右侧的应用，抓取指定网站的数据包。

用软件抓取http包的方法步骤：

1、运行软件，进入主界面。

2. 在左侧网卡区域，点击选择网卡。 目前这里是无线网卡，选择无线网络连接。

3、点击开始，进入抓包界面。

4. 在（过滤器）框中，输入 http。

5. 点击右侧的应用。 此时进入抓包状态。 如果在浏览器中浏览网页，可以抓取其中的http数据包。