README.md

WireShark

安装问题

• Win10 WireShark 若没有找到接口

  安装Win10Pcap。 下载地址：http://www.win10pcap.org/download/

显示过滤：wireshark过滤经过指定ip的数据包

• 显示过滤可以完整的复现测试时的网络环境，但会产生较大的捕获文件和内存占用。
• ip.addr == 192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包
• ip.dst == 192.168.1.1 //显示目标地址是192.168.1.1的数据包
• ip.src == 192.168.1.1 //显示源地址是192.168.1.1的数据包
• eth.addr == 80:f6:2e:ce:3f:00 //根据MAC地址过滤，详见“wireshark过滤MAC地址/物理地址”
• ip.src==192.168.0.0/16 //网络过滤，过滤一个网段

捕获过滤：wireshark捕获经过指定ip的数据包

• 捕捉过滤抓包前在capture option中设置，仅捕获符合条件的包，可以避免产生较大的捕获文件和内存占用，但不能完整的复现测试时的网络环境。
• host 192.168.1.1 //抓取192.168.1.1 收到和发出的所有数据包
• src host 192.168.1.1 //源地址，192.168.1.1发出的所有数据包
• dst host 192.168.1.1 //目标地址，192.168.1.1收到的所有数据包
• src host hostname //根据主机名过滤
• ether host 80:05:09:03:E4:35 //根据MAC地址过滤
• net 192.168.1 //网络过滤，过滤整个网段
• src net 192.168 //根据源IP过滤
• dst net 192 //根据目标IP过滤

使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

• 非: ! or not
• 且: && or and
• 或: || or or