1、协议过滤：tcp
 
 
 

 udp
 arp
 icmp
 http
 smtp
 ftp
 dns
 msnms
 ip
 ss
 
 
例：udp.port==8089
 
 
筛选udp协议 端口为8089 ，

wireshark抓包常用命令：
 
一、针对IP过滤
 
1）对源地址为192.168.0.1的包的过滤
 
ip.src == 192.168.0.1
 
2）对目的地址为192.168.0.1的包的过滤
 
ip.dst == 192.168.0.1
 
3) 包括源和目的地址
 
ip.addr == 192.168.0.1
 
二、针对协议的过滤
 
1）捕获某些协议的数据包
 
http or telnet
 
2）排除某种协议的数据包
 
not arp /  !tcp
 
三、针对端口的过滤
 
1）捕获某一端口的数据包
 
tcp.port == 80 / udp.port == 80 
 
2）捕获多端口的数据包，可以使用and来连接
 
四、逻辑条件组合筛选
 
||                   //逻辑或
 
&&                //逻辑与
 
!                    //逻辑非
 
更多请参考 https://www.cnblogs.com/nmap/p/6291683.html

文章出处：wireshark怎么抓包、wireshark抓包详细图文教程
 

 
 
 
 wireshark怎么抓包、wireshark抓包详细图文教程
 
 
 
 wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。
 为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。
  
 
 
 wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.
  
 
 
 
   
  
 
   

    Wireshark(网络嗅探抓包工具) 中文版
   
 
   

      
   
 
   

    类别： 远程监控    大小：22M    语言： 中文 
   
 
  
 
  

     
  
 
 
 
 
  
 
 wireshark 开始抓包
 
 
 开始界面
 
 
 
 
 
 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
 
 
 点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包
 
 
 
 
 
 Wireshark 窗口介绍
 
 
 
 
 
 WireShark 主要分为这几个界面
 
 
 1. Display Filter(显示过滤器)，  用于过滤
 
 
 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
 
 
 3. Packet Details Pane(封包详细信息), 显示封包中的字段
 
 
 4. Dissector Pane(16进制数据)
 
 
 5. Miscellanous(地址栏，杂项)
 
 
  
 
 
 
 
  
 
 
 第 2 页 Wireshark 显示过滤
  
 
 
 
 
 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
 
 
 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
 
 
 过滤器有两种，
 
 
 一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
 
 
 一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置
 
 
 保存过滤
 
 
 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",
 
 
 
 
 
 Filter栏上就多了个"Filter 102" 的按钮。
 
 
 
 
 
 过滤表达式
 用途
 http
 只查看HTTP协议的记录
 ip.src ==192.168.1.102 or ip.dst==192.168.1.102
  源地址或者目标地址是192.168.1.102
  
  
  
  
 
 
 封包列表(Packet List Pane)
 
 
 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
 
 
 你也可以修改这些显示颜色的规则，  View ->Coloring Rules.
 
 
 
 
 
 封包详细信息 (Packet Details Pane)
 
 
 这个面板是我们最重要的，用来查看协议中的每一个字段。
 
 
 各行信息分别为
 
 
 Frame:   物理层的数据帧概况
 
 
 Ethernet II: 数据链路层以太网帧头部信息
 
 
 Internet Protocol Version 4: 互联网层IP包头部信息
  
 
 
 Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP
  
 
 
 Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议
 
 
  
 
 
 第 3 页 wireshark与对应的OSI七层模型
 
 
 
 
 
 
 TCP包的具体内容
 
 
  从下图可以看到wireshark捕获到的TCP包中的每个字段。
 
 
 
 
 
  
 
 
 第 4 页 实例分析TCP三次握手过程
 
 
 
 看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例
 
 
  三次握手过程为
 
 
 
 
 
 这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。
 
 
 打开wireshark, 打开浏览器输入 http://www.9upk.com
 
 
 在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",
 
 
 这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图
 
 
 
 
 
 图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。
 
 
 第一次握手数据包
 
 
 客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图
 
 
 
 
 
 第二次握手的数据包
 
 
 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图
 
 
 
 
 
 第三次握手的数据包
 
 
 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
 
 
 
 
 
  就这样通过了TCP三次握手，建立了连接
 
 

 

 

tcpdump抓包命令
 
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
 
抓eth1的包 
 tcpdump -i eth1 -w /tmp/xxx.cap
抓 192.168.1.123的包 
 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
抓192.168.1.123的80端口的包 
 tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
抓192.168.1.123的icmp的包 
 tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap
抓192.168.1.123的80端口和110和25以外的其他端口的包 
 tcpdump -i eth1 host 192.168.1.123 and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
抓vlan 1的包 
 tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
抓pppoe的密码 
 tcpdump -i eth1 pppoes -w /tmp/xxx.cap 
以100m大小分割保存文件， 超过100m另开一个文件 
 -C 100m
抓10000个包后退出 
 -c 10000
后台抓包， 控制台退出也不会影响 
 nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap & 
 
 
使用wireshark分析tcpdump出来的pcap文件
 
我们需要过滤一些想要的数据，那么在如图所示的输入框中输入表达式过滤即可： 
 
 
Wireshark的Filter内输入如下一些过滤条件，可以更加方便地分析数据来源：
 
tcp.port== 80 //过滤来自80端口的TCP数据 
 udp.port== 12345 //过滤来自12345端口的UDP数据 
 ip.src== 192.168.0.1 //过滤源IP为192.168.0.1的数据 
 ip.dst== 192.168.0.1 //过目的IP为192.168.0.1的数据 
 以上过滤条件可以用and跟or相互组合，例如 
 tcp.port== 80 and ip.src == 192.168.0.1 //过滤来自80端口，源IP为192.168.0.1的TCP数 
 udp.port== 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据，或者目的IP为192.168.0.1的数据
 
关于wireshark：
 
wireshark面板介绍： 
  
 1. Display Filter(显示过滤器)， 用于过滤。 
 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表不同的数据流。 
 3. Packet Details Pane(封包详细信息), 显示封包中的字段。 
 4. Dissector Pane(16进制数据) 
 5. Miscellanous(地址栏，杂项)
 
封包详细信息：
 
Frame: 物理层的数据帧概况 
 Ethernet II: 数据链路层以太网帧头部信息 
 Internet Protocol Version 4: 互联网层IP包头部信息 
 Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议
 
wireshark与对应的OSI七层模型：
 
 
封包详细内容中，TCP包具体内容：
 
 
 
实例分析TCP三次握手：
 
 
上图是TCP三次握手的过程图，那么在wireshark上，我们也可以看到这个过程：
 
打开浏览器和wireshark，任意输入并浏览一个网址，然后在wireshark中，找到protocol为TCP的数据包，右键->追踪流->TCP流，既可以看到两台主机之间，进行的通信： 
  
 图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。
 
客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接。 如下图： 
 
 
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的ISN加1以.即0+1=1, 如下图： 
 
 
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图: 
 
 
TCP三次握手四次挥手过程：
 
 
回到具体问题，我们知道了这些wireshark的面板中，各项中，字段含义，那么怎么知道一步操作具体使用了多少流量呢？ 
 前提：清除掉你的应用缓存，不然不能得到你想要的数据。 
 1.使用过滤器，过滤出你想要的数据包（此步可以省略）； 
 2.找到你想统计的主机地址和目的地址通信的包，右键，追踪流，TCP流，如图： 
  
 3.在筛选出的TCP Stream中，将各条记录的Length进行求和，即可得到总的大小; 
 
 
当然，这里wireshark给我们提供了一个简单的方法，查看流量的统计结果：
 
点击统计，端点；在弹出来的窗口中，选择TCP，勾选“显示过滤器的限制”，如图所示： 
 
 
PS：这部分是之和，是包含了TCP连接所消耗的数据，如果你想剔除这部分数据，那么，可以（右键->追踪流->TCP流），这样，可以在左下角看到有个entire conversation（114kB），及不包含TCP连接的通信数据流量为114KB；
 
原文链接：https://blog.csdn.net/zhou1021jian/article/details/79631422