Capture filter
Host(s)
• 可能的值: net、port、host、portrange • 如果没有指定此值，则默认使用“host”关键字。 • 例如，"src 10.1.1.1"与"src host 10.1.1.1"相同
Logical Operations（逻辑运算）
• 可能的值: not、and、or • 否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时 从左至右进行。 • 例如， "not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。
Display filter
Follow TCP Stream
• 鼠标右键菜单提供的简单TCP Stream过滤方法 • 可以显示应用层数据
Follow TCP Stream
Display filter
Display filter
Follow TCP Stream
• Find • 在数据流中查找所需内容 • Save as • 以当前所选格式保存显示的数据 • Direction • 显示数据流的方向 • 双向、S to D、D to S • Filter out this stream • 显示剔除当前显示数据流的其它数据包 • Close • 关闭当前显示，返回后只显示过滤的数据包
网桥启动后计算机不能进入休眠或睡眠状态，否则一旦网桥上的某一 个连接断开，Windows将无法恢复，只能完全断电后重启。 抓包工作完成后在网桥属性中将桥接的两个网络接口复选框钩掉，确 认后再鼠标右键网桥选择禁用，避免网桥启动状态带来的不必要的麻 烦。
Capture filter
直接输入 抓包过滤 表达式
matches
符合
Display filter
查找数据数 据包中包含 Ox 11:bb 的 TCP数据包
Display filter
Logical expressions（逻辑运算符）
• 可以使用4种逻辑运算符。
英文写法：
and or xor not
C语言写法：
&& || ^^ !
含义：
逻辑与 逻辑或 逻辑异或 逻辑非
正确的写法应该是 ! ( ip.addr == 10.43.54.65 )
• 等于! (ip.src == 10.43.54.65 or ip.dst == 10.43.54.65)或者 ip.src != 10.43.54.65 and ip.dst != 10.43.54.65
类似的字段还有tcp.port udp.port ether.addr等等.
Tips
当使用关键字作为值时，需使用反斜杠“\”。
“ether proto \ip” (与关键字“ip”相同)。
这样写将会以IP协议作为目标。
“ip proto \icmp” (与关键字“icmp”相同)。 这样写将会以ping工具常用的icmp作为目标。 可以在“ip”或“ether”后面使用“multicast”及“broadcast”关键字。当您想 排除广播请求时，"no broadcast"就会非常有用。
• 等于ip.src == 10.43.54.65 or ip.dst == 10.43.54.65
但是如果我们想看到除了10.43.54.65以外的数据包,则不能写成 ip.addr != 10.43.54.65
• 等于ip.src != 10.43.54.65 or ip.dst != 10.43.54.65
Tips
由于网桥工作在网络的第二层，所以两块物理网卡和网桥的IP地址可以 设置成和客户不同的网段地址，抓包的计算机本身不能访问客户网络， 只是作为一个二层的桥接设备。
如果让抓包计算机也能够访问客户网络，只需在网桥上设置一个能够 访问客户网络的有效IP地址即可。
抓包时可以选择任意一个物理网卡进行抓包，不能选择网桥抓包。
Hide capture info dialog （不显示捕获的数据包 的数量的统计数据）
开始抓包
Start
停止抓包
Stop
Display filter
Display filter
此filter非彼filter Capture filter vs Display filter
• Capture filter 在抓包之前设置，是第一层过滤器，避免抓到大量的无 用数据包。 • Display filter在抓包后设置，是第二层过滤器，过滤规则更细，帮助迅 速准确地找到所需记录。
过滤表达式可以参考 /tcpdump_man.html
Capture filter profile
抓包显示选项
Update list of packets in real time（实时更新抓 包列表）
Automatic scrolling in live capture （抓包的时 候自动滚动到最后一行）
Capture filter
此filter非彼filter Capture filter vs Display filter
• Capture filter 在抓包之前设置，是第一层过滤器，避免抓到大量的无 用数据包。 • Display filter在抓包后设置，是第二层过滤器，过滤规则更细，帮助迅 速准确地找到所需记录。
Capture filter 语法
语法： Protocol 例子： tcp Direction dst Host(s) 10.1.1.1 Value 80
Logical Operations
and
Other expression tcp dst 10.2.2.2 3128
Capture filter
例子
tcp dst port 3128 • 显示目的TCP端口为3128的数据包。 ip src host 10.1.1.1 • 显示来源IP地址为10.1.1.1的数据包。
host 10.1.2.3
• 显示目的或来源IP地址为10.1.2.3的数据包。 src portrange 2000-2500 • 显示来源为UDP或TCP，并且端口号在2000至2500范围内的数据包。 not imcp • 显示除了icmp以外的所有数据包。（icmp通常被ping工具使用） src host 10.7.2.12 and not dst net 10.200.0.0/16 • 显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的数据包。
Wireshark 使用心得
饮水思源
感谢Ethereal和 Wireshark的创建者 Gerald Combs以及为 它们的发展而做出 努力的上千名开发 人员！
下载/安装
https:///downl oad.html Winpcap
• 自动检测操作系统中已经安装的版本，建议 卸载旧版本，使用安装包中的最新版本。
Protocol（协议）
• 可以使用大量位于OSI模型第2至7层的协议。点击 "Expression..."按钮后，可以看到它们。 • 比如：IP，TCP，DNS，SSH。
Display filter
String1，String2（可选项）
• 协议的子类。 • 点击相关父类旁的"+"号，然后选择其子类。
• 显示来源不为10.1.2.3并且目的IP不为10.4.5.6的数据包。 • 来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意。
如果过滤器的语法是正确的，表达式的背景呈绿色。 如果呈红色，说明表达式有误
表达式正确
表达式错误
Tips
由于部分字段的定义存在一个字段包含多个字段的情况. 在书写表达式的 时候要特别注意其中的逻辑关系. 例如 ip.addr 这个字段包含了 ip.src 和 ip.dst 两个字段.如果我们只想要看 10.43.54.65的数据包可以这样写: ip.addr == 10.43.54.65
例子
snmp || dns || icmp
• 显示SNMP或DNS或ICMP数据包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
• 显示来源不为10.1.2.3或者目的不为10.4.5.6的数据包。
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
Windows XP
• 1. 通过单击“开始”按钮，再依次单击“设置”、“控制面板”，打开“网络连接”。 • 2. 按住Ctrl键，然后点击所有需要桥接的LAN网段。然后，右击所选择局域网连接对象 中的一个，然后点击“桥接” 。 • 3. 右键单击网络桥，然后单击“属性”。 • 4. 在“常规”选项卡的“适配器”下，选中要向网桥中添加的每个连接旁边的复选框， 然后单击“确定”。
察看数据包
抓客户端证书演示
找到有效数据包
• Certificate，client key exchange, certificate verify, change cipher spec
展开数据包 ，找到对于数据段
• certificate
以相应数据格式拷贝数据
• 鼠标右键- Copy - Hex stream
Protocol（协议）
• 可能的值: ether、fddi、ip、arp、rarp、decnet、lat 、sca、moprc、mopdl、tcp and udp. • 如果没有特别指明是什么协议，则默认使用所有支 持的协议。