wireshark过滤(如何设置wireshark过滤器)

1、打开Wireshark工具，在界面左上角，启动“捕获”选项，在没有设置过滤器情况下，可以捕获所有网络协议包数据，任意选择某一条记录，可以看到该网络协议包数据的信息。如下图所示。。

2、查看过滤器，选择主页面左上角方框标识，在下拉菜单显示当前自带的过滤器，选择打开“管理显示过滤器”，在弹出的“显示过滤器”窗口，通过“+”可以管理添加自定义的过滤器配置，设置过滤器名称及过滤器配置后，点击“确认”退出，此时再次打开查看过滤器，可以看到新增的过滤器信息选项，如需删除请选择“删除过滤器”，如下图所示。。

3、选择指定过滤器，此时在抓包窗口可以看到只显示符合该过滤器设置的协议数据，如下图所示。。

4、将指定过滤器添加到表达式，选择界面表达式“+”，输入过滤器标签，点击“OK”，指定过滤器显示在表达式后面，可以方便使用者快速选择过滤器，如下图所示。。

1、过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为11108的包，ip.dst==11108；查找源地址为ip.src==1；。

2、端口过滤。如过滤80端口，在Filter中输入，tcp.port==这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；。

3、协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；。

4、http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；。

5、连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为11108并且为http协议的，ip.src==11108andhttp。。

1、先用filter进行过滤，然后File——SaveAs，PacketRange里面选择Displayed，然后保存。

2、如果想保存从第2001个到第3000个这1000个包，可以在2001个包上点右键选择MarkPacket(toggle)，在第3000个包上点右键选择MarkPacket。

1、首先是设置捕获过滤器。打开wireshark工具，捕获---捕获过滤器。可增加和删除对应不到的过滤器。。

2、在设置好过滤器之后，回到主页面，看图片的的鼠标箭头选择，点击选择刚刚设置好的过滤器。点击就可以才是捕获数据了。（想要什么样的数据，就设置对应的过滤规则。）。

3、至于wireshark工具抓包到特定时间或大小后保存文件的。捕获---选项。根据自己想要的条件需求设置。设置好之后直接点开始，就可以抓包了。。

4、最后就是我们说的合并抓包了。主要有两种方式，第一种就是直接在工具页面操作，文件---合并，用我们刚刚抓的数据包，进行合并。。

5、另外一种就是，进入到wireshark工具的安装目录。找到mergecap.exe。从cmd进入，使用合并用法：mergecap.exe-w  ...好啦！此次分享就到这啦，希望可以帮到有需要的同学！。

1、过滤源ip、目的ip。

2、在wireshark的过滤规则框Filter中输入过滤条件。

3、如查找目的地址为11108的包，ip.dst==11108。

4、查找源地址为ip.src==1。

5、端口过滤。

6、如过滤80端口，在Filter中输入，tcp.port==这条规则是把源端口和目的端口为80的都过滤出来。

7、使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包。

8、协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议。

9、http模式过滤。

10、如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"。

11、连接符and的使用。

12、过滤两种条件时，使用and连接，如过滤ip为11108并且为http协议的，ip.src==11108andhttp。

1、在抓包之前设置抓包过滤器，然后start或者在vm当中，在纯净无干扰的网络环境下抓。

2、不是所有包我都要抓取、Capture->Options->CaptureFilter。

3、需要掌握filter使用语法。

4、如果不想掌握，可以尝试基于进程抓包分析工具QPA，QPA搜索使用方式是直接在筛选框中输入关键词，然后回车即显示相关目标报文。

5、工作流程(1)确定Wireshark的位置。

6、如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

7、(2)选择捕获接口。

8、一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。

9、否则，捕获到的其它数据对自己也没有任何帮助。

1、在抓包之前设置抓包过滤器，然后start或者在vm当中，在纯净无干扰的网络环境下抓。

1、IP过滤、包括来源IP或者目标IP等于某个IP比如、ip.srcaddr==1208orip.srcaddreq1208显示来源IPip.dstaddr==1208orip.dstaddreq1208显示目标IP端口过滤、比如、tcp.porteq80//不管端口是来源的还是目标的都显示tcp.port==80tcp.porteq2722tcp.porteq80orudp.porteq80tcp.dstport==80//只显tcp协议的目标端口80tcp.srcport==80//只显tcp协议的来源端口80过滤端口范围tcp.port>=1andtcp.port=7指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len==94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len==119整个数据包长度,从eth开始到最后http模式过滤、例子、http.request.method==“GET”http.request.method==“POST”http.request.uri==“/img/logo-edu.gif”httpcontains“GET”httpcontains“HTTP/”//GET包http.request.method==“GET”&&httpcontains“Host、”http.request.method==“GET”&&httpcontains“User-Agent、”//POST包http.request.method==“POST”&&httpcontains“Host、”http.request.method==“POST”&&httpcontains“User-Agent、”//响应包httpcontains“HTTP/1200OK”&&httpcontains“Content-Type、”httpcontains“HTTP/0200OK”&&httpcontains“Content-Type、”一定包含如下Content-Type、连接符and/or表达式、。

1、方法/步骤　　1过滤源ip、目的ip。

2、在wireshark的过滤规则框Filter中输入过滤条件。

3、如查找目的地址为11108的包，ip.dst==11108。

4、查找源地址为ip.src==1。

5、2端口过滤。

6、如过滤80端口，在Filter中输入，tcp.port==这条规则是把源端口和目的端口为80的都过滤出来。

7、使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包。

8、3协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议。

9、4　　http模式过滤。

10、如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"。

11、5　　连接符and的使用。

12、过滤两种条件时，使用and连接，如过滤ip为11108并且为http协议的，ip.src==11108andhttp。

版权声明：本文由用户上传，如有侵权请联系删除！