wireshark使用要点

目录

IP过滤

端口过滤

内容过滤

过滤udp

过滤tcp

---

 

IP过滤

ip.src == XXX.XXX.XXX.XXX 只显示消息源地址为XXX.XXX.XXX.XXX的信息

ip.dst == XXX.XXX.XXX.XXX 只显示消息目的地址为XXX.XXX.XXX.XXX的信息

ip.addr == XXX.XXX.XXX.XXX显示消息源地址为XXX.XXX.XXX.XXX，或者消息目的地址为XXX.XXX.XXX.XXX的信息

端口过滤

tcp.port == YYYY  只显示源端口或者目的端口为YYYY的tcp消息

udp.port == YYYY 只显示源端口或者目的端口为YYYY的udp消息

内容过滤

过滤udp

udp[8:X] == AA:BB:CC....  从udp报文的第9个字节开始，取X个字节，假如这X个字节等于等号右边的AA:BB:CC...，则显示该udp报文。之所以跳过前面8个字节，是因为udp报文总以8个字节开头。

过滤tcp

tcp[20:X] == AA:BB:CC...  从tcp报文的第21个字节开始，取X个字节，假如这X个字节等于等号右边的AA:BB:CC...，则显示该tcp报文。之所以跳过前面20个字节，是因为tcp报文总以20个字节开头。但是实测wireshark发现，tcp[0:X], tcp[19:X], tcp[21:X]...等过滤效果都一样。