转自:https://www.cnblogs.com/strick/p/6261915.html
一、捕获过滤器
选中捕获选项
后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。
1)捕获单个IP地址
2)捕获IP地址范围
3)捕获广播或多播地址
4)捕获MAC地址
5)捕获所有端口号
6)捕获特定ICMP数据
当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。
在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置。
偏移量0表示ICMP字段类型,偏移量1表示ICMP位置代码字段。
二、显示过滤器
显示过滤器语法如下:
1)协议过滤器
2)应用过滤器
3)字段存在过滤器
字段名还有很多,可以在状态栏中找到对应的字段名:
4)特有过滤器
5)显示单个IP地址或主机
6)显示地址范围
7)显示一个子网IP
以CIDR(无类型域间选路)格式使用ip.addr字段名定义一个子网过滤器。
斜杠和数字分别定义IP地址的网络部分和掩码位数。
子网掩码通过与IP地址做与操作,从而分离出 IP 地址中的网络部分与主机部分。
8)过滤单一TCP/UDP会话
tcp.stream eq 会话序号,在传输层数据中可以看到会话序号。
9)使用关键字
1. frame contains "string"搜索,在帧中搜索一个关键字
2. 字段名搜索,例如前面提到的http.request.method contains "get"
3. 搜索关键字时不区分大小写,上面那个搜索将搜不出结果,因为字段内容其实是“GET”大写的,修改http.request.method matches "(?i)(get)"
4. 搜索多个关键字,http.request.method matches "(?i)(get|post)"
5. 使用通配符,也就是正则表达式
10)时间过滤器
在物理层数据帧中有三个时间:
1. 距离上一个捕获的包的时间间隔
2. 从上次显示的包开始计时,距离上一个显示的包的时间间隔
3. 距离第一个捕获包的时间间隔,默认第一个数据帧的时间为0.000000
frame.time_delta 过滤的是第一种时间
在Packet List面板中默认加了Time列,表示的是第三种时间。
11)基于TCP的时间过滤
tcp.time_delta的计算与上一个类似,只是字段包含在TCP头部,如果要查看必须启用Calculate conversation timestamps选项。
选择Edit | Preference | Protocols | TCP:
在传输层数据段中多了两个表示时间的字段:
tcp.time_delta过滤的是第二种时间。
参考资料:
Wireshark网络分析的艺术
Wireshark数据包分析实战详解
wireshark中的时间格式
