Wireshark作為一個(gè)經(jīng)典老牌的網(wǎng)絡(luò)抓包分析工具，其2.9.0版是很多用戶所喜歡的版本之一，它為為網(wǎng)絡(luò)工程師，網(wǎng)絡(luò)架構(gòu)師，應(yīng)用工程師，網(wǎng)絡(luò)顧問(wèn)和其他IT專(zhuān)業(yè)人員的網(wǎng)絡(luò)故障排除工作提供了強(qiáng)有力的技術(shù)支持，是保護(hù)，分析和維護(hù)高效的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的最佳實(shí)踐教育工具。

【過(guò)濾規(guī)則介紹】

　　使用過(guò)濾是非常重要的， 初學(xué)者使用wireshark時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬(wàn)條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。

　　過(guò)濾器有兩種，一種是顯示過(guò)濾器，就是主界面上那個(gè)，用來(lái)在捕獲的記錄中找到所需要的記錄；一種是捕獲過(guò)濾器，用來(lái)過(guò)濾捕獲的封包，以免捕獲太多的記錄。 下面就來(lái)簡(jiǎn)單說(shuō)一下過(guò)濾規(guī)則。

　　1、過(guò)濾IP，如來(lái)源IP或者目標(biāo)IP等于某個(gè)IP

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能顯示來(lái)源IP和目標(biāo)IP

　　2、過(guò)濾端口

　　例子:

　　tcp.port eq 80 // 不管端口是來(lái)源的還是目標(biāo)的都顯示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只顯tcp協(xié)議的目標(biāo)端口80

　　tcp.srcport == 80 // 只顯tcp協(xié)議的來(lái)源端口80

　　udp.port eq 15000

　　過(guò)濾端口范圍

　　tcp.port >= 1 and tcp.port <= 80

　　3、包長(zhǎng)度過(guò)濾

　　例子:

　　udp.length == 26 這個(gè)長(zhǎng)度是指udp本身固定長(zhǎng)度8加上udp下面那塊數(shù)據(jù)包之和

　　tcp.len >= 7   指的是ip數(shù)據(jù)包(tcp下面那塊數(shù)據(jù)),不包括tcp本身

　　ip.len == 94 除了以太網(wǎng)頭固定長(zhǎng)度14,其它都算是ip.len,即從ip本身到最后

　　frame.len == 119 整個(gè)數(shù)據(jù)包長(zhǎng)度,從eth開(kāi)始到最后

　　eth —> ip or arp —> tcp or udp —> data