Wireshark抓包及常用过滤方法

一、抓包
实际遇到组件服务间的报错问题时，通过日志无法快速看出原因，可通过抓包的方式来快速查看接口返回信息及错误提示，使用如下命令可实现对某个端口进行抓包：

tcpdump -i any -w /opt/xxx.pcap tcp port 8150 # 8150为调用接口的端口号

二、常用过滤方法
通过以上命令抓取到tcp协议的报文后，使用Wireshark打开xxx.pcap文件，在过滤框（Fileter）中输入相应的过滤表达式可快速筛选想看的接口间的请求报文：

1.过滤源（source）ip和目标（destination）ip
在Filter中输入：ip.src==127.0.0.1，可过滤出源ip为127.0.0.1的报文信息；

在Filter中输入：ip.src==127.0.0.1，可过滤出目标ip为127.0.0.1的报文信息；

在Filter中输入：ip.src==127.0.0.1 and ip.dst==127.0.1.1，可同时过滤出源ip为127.0.0.1和目标ip为127.0.1.1的报文。

2.端口过滤
在Filter中输入：tcp.port==80，将源端口和目标端口都为80的过滤出来；

在Filter中输入：tcp.dstport==80，只过滤目标端口为80的；

在Filter中输入：tcp.srcport==80，只过滤源端口为80的。

 

 

3.协议过滤
在Filter中输入：协议名称回车即可。

4.请求协议过滤
在Filter中输入：http.request.method=="GET"，过滤get方式报文；

在Filter中输入：http.request.method=="POST"，过滤post方式报文。

 

 

5.连接符and
过滤两种条件时，可使用and连接：

在Filter中输入ip.src==127.0.0.1 and http，可同时过滤出源ip为127.0.0.1和http协议的报文。
————————————————
转：https://blog.csdn.net/liu_yanxiaobai/article/details/124943492