wireshark常用抓包过滤筛选命令

丢丢丢丢~~~~

掌握过滤技巧很重要，刚进行抓包时，会得到很多冗余的数据，使用过滤，会简单、直观地得到我们需要的信息。

1、过滤源MAC、目的MAC

在wireshark的过滤规则框Filter中输入过滤条件：

查找源和目的MAC地址都为00:f6:bb:cc:ee:6b的包，eth.addr== 00:f6:bb:cc:ee:6b

查找源MAC地址为00:f6:bb:cc:ee:6b的包，eth.src== 00:f6:bb:cc:ee:6b

查找目的MAC地址为00:f6:bb:cc:ee:6b的包，eth.dst== 00:f6:bb:cc:ee:6b

查找多个源MAC地址的包，eth.src == 00:f6:bb:cc:ee:6b || eth.src == 00:f6:bb:cc:ee:7b

2、 过滤源IP、目的IP

在wireshark的过滤规则框Filter中输入过滤条件：

查找源IP地址为192.168.1.133的包，ip.src==192.168.1.133

查找目的IP地址为8.8.8.8的包，ip.dst==8.8.8.8

查找多个源IP地址的包，ip.src == 192.168.1.133 || ip.src == 192.168.1.134

查找源IP地址段内所有的包，ip.src == 192.168.1.0/24

3、端口过滤

在wireshark的过滤规则框Filter中输入过滤条件：

把源端口和目的端口为80的TCP数据包都过滤出来，tcp.port==80

把目的端口为80的TCP数据包都过滤出来，tcp.dstport==80

把源端口为80的TCP数据包都过滤出来，tcp.srcport==80

4、协议过滤

协议过滤比较简单，直接在Filter框中直接输入协议名即可，http 或 udp 或 dns

5、http模式过滤

过滤get包，http.request.method == " GET "

过滤post包，http.request.method == " POST "

6、连接符and的使用

过滤两种条件时，使用and连接：

如过滤ip为192.168.1.133并且为http协议的，ip.src==192.168.1.133 and http