【网络】Wireshark使用过滤器查看网络封包

WireShark分为两个过滤器：

1.显示过滤器。

2.捕获过滤器。

我们分别来介绍一下

一、显示过滤器

 

基本语法：

1. 比较操作符：==、！=、<、>、>=、=
2. 逻辑操作符：and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
3. IP地址：ip.addr（来源ip地址或者目标ip地址）、ip.src（来源ip地址限制）、ip.dst（目标ip地址限制）
4. 协议过滤：arp、ip、icmp、udp、tcp、bootp、dns

 

 在你选择好端口开始捕获分组的时候，在显示的界面进行一次过滤

可以理解为捕获所有的分组，但是在GUI显示上为你过滤了一次。

举个例子：
我们用cmd的ping指令找到百度的ip地址

 

 然后我们用wireshark显示过滤一下

 

 我们可以看到源ip 目的ip哪一个至少有一个是百度的ip地址。

 

 注意看上图这是我们的tcp三次握手

（一共有6个是因为 2个tcp连接 端口号不同）

 

二、捕获过滤器

 

 

 

 显示的都是tcp协议包（TSL是安全传输协议）