Wireshark新手小白基础使用方法

一、针对IP抓取

1、过滤格式：

（1）、ip.src eq x.x.x.x

（2）、ip.dst eq x.x.x.x

（3）ip.src eq x.x.x.x or ip.dst eq x.x.x.x

二、针对端口过滤

1、过滤格式：

（1）、tcp.srcport==xx

（2）、tcp.port==xx

三、针对协议过滤

1、过滤格式：

（1）、ip.addr == x.x.x.x and icmp

四、针对DHCP过滤

---

一、针对IP抓取

1、过滤格式：

（1）、ip.src eq x.x.x.x

ip.src eq x.x.x.x：抓取固定源IP（源IP就是发起数据访问的访问者）是x.x.x.x的所有报文。

（2）、ip.dst eq x.x.x.x

ip.dst eq x.x.x.x：抓取固定目的IP（目的IP就是数据访问的被访问者）是x.x.x.x的所有报文。

（3）ip.src eq x.x.x.x or ip.dst eq x.x.x.x

ip.src eq x.x.x.x or ip.dst eq x.x.x.x：抓取固定源到目的。

二、针对端口过滤

1、过滤格式：

（1）、tcp.srcport==xx

tcp.srcport==8080：匹配源端口是TCP的8080端口

（2）、tcp.port==xx

tcp.port==80：匹配端口为80。

三、针对协议过滤

1、过滤格式：

（1）、ip.addr == x.x.x.x and icmp

ip.addr == x.x.x.x and icmp：过滤ip地址是x.x.x.x 并且协议是ICMP的报文。

四、针对DHCP过滤

先需要Win加R调出运行窗口，接着输入cmd命令，输入ipconfig /release进行释放IP，然后输入ipconfig /renew重新获取IP。

使用bootp过滤报文，Wireshark在处理DHCP时，使用的是BOOTP协议，所以在Packet Detail 面板中看到的是Bootstrap Protocol，而不是DHCP（现在新版本可以直接dhcp过滤报文）。

1、发现阶段：客户端以广播方式发送DHCP-DISCOVER报文。

2、提供阶段：服务器接收到客户端的DHCP-DISCOVER报文后，根据IP地址分配的优先次序选出一个IP地址，与其他参数一起通过DHCP-OFFER报文发送给客户端。

3、选择阶段：客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文，客户端只接受第一个收到的DHCP-OFFER报文，然后以广播方式发送DHCP-REQUEST报文，该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。

4、确认阶段：服务器收到客户端发来的DHCP-REQUEST报文后，只有DHCP客户端选择的服务器进行回复，如果确认将地址分配给该客户端，则返回DHCP-ACK报文；否则返回DHCP-NAK报文，表明地址不能分配给该客户端。