設置wireshark過濾get

Ⅰ wireshark如何按照域名過濾

在抓包之前設置抓包過濾器，然後start或者在vm當中，在純凈無干擾的網路環境下抓。不是所有包我都要抓取：Capture->Options->Capture Filter。

需要掌握filter使用語法。如果不想掌握，可以嘗試基於進程抓包分析工具QPA，QPA搜索使用方式是直接在篩選框中輸入關鍵詞，然後回車即顯示相關目標報文。

工作流程

（1）確定Wireshark的位置。如果沒有一個正確的位置，啟動Wireshark後會花費很長的時間捕獲一些與自己無關的數據。

（2）選擇捕獲介面。一般都是選擇連接到Internet網路的介面，這樣才可以捕獲到與網路相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

Ⅱ wireshark怎麼設置過濾條件

應寫為：
ip.addr==210.32.1.123||tcp.port==80

這樣就可以過濾出來和這個IP相關的80埠的信息了。

Ⅲ wireshark怎麼過濾域名

一、IP過濾：包括來源IP或者目標IP等於某個IP

比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示來源IP

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標IP

二、埠過濾：

比如：tcp.port eq 80 // 不管埠是來源的還是目標的都顯示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只顯tcp協議的目標埠80

tcp.srcport == 80 // 只顯tcp協議的來源埠80

過濾埠范圍

tcp.port >= 1 and tcp.port <= 80

三、協議過濾：tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

等等

排除ssl包，如!ssl 或者 not ssl

四、包長度過濾：

比如：

udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和

tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身

ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後

frame.len == 119 整個數據包長度,從eth開始到最後

五、http模式過濾：

例子:

http.request.method == 「GET」

http.request.method == 「POST」

http.request.uri == 「/img/logo-e.gif」

http contains 「GET」

http contains 「HTTP/1.」

// GET包

http.request.method == 「GET」 && http contains 「Host: 」

http.request.method == 「GET」 && http contains 「User-Agent: 」

// POST包

http.request.method == 「POST」 && http contains 「Host: 」

http.request.method == 「POST」 && http contains 「User-Agent: 」

// 響應包

http contains 「HTTP/1.1 200 OK」 && http contains 「Content-Type: 」

http contains 「HTTP/1.0 200 OK」 && http contains 「Content-Type: 」

一定包含如下

Content-Type:

六、連接符 and / or