wireshark
打开软件,选择本机正在使用的网卡或者是指定的网卡。
点击选定的网卡,软件就会自动开始抓包。如果我们想要过滤IP,我们可以用ip.srceq 192.168.1.220 or ip.dsteq 192.168.1.220或者ip.addreq 192.168.1.220 // 都能显示来源IP和目标IP。
如果想要过滤端口,我们可以使用tcp.porteq 80 // 不管端口是来源的还是目标的都显示tcp.port == 80tcp.porteq 2722tcp.porteq 80 or udp.porteq 80tcp.dstport == 80 // 只显tcp协议的目标端口80tcp.srcport == 80 // 只显tcp协议的来源端口80
如果想要过滤协议,我们可以直接输入协议名称。比如tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp等等。
若果想要过滤MAC,我们可以用这些命令eth.dst == 44:8A:5B:E2:58:00 // 、过滤目标maceth.srceq 44:8A:5B:E2:58:00 // 过滤来源、mac eth.dst==44:8A:5B:E2:58:00、eth.dst==44:8A:5B:E2:58:00。
如果想要过滤包长度,我们可以用命令udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和、tcp.len>= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身、ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后、frame.len == 119 整个数据包长度,从eth开始到最后。
如果有不动地方可以私信我,麻烦给个投票谢谢。