抓包過濾包含ip

『壹』 怎麼用wireshark抓包具體ip

Wireshark是一個抓取來網路數據包的工具，這對自分析網路問題是很重要的，下文將會簡單的介紹下如何使用Wireshark來抓包。

1、在如下鏈接下載「Wireshark」並在電腦上安裝。

2、如果之前沒有安裝過「Winpcap」請在下面把安裝「Winpcap」的勾選上。

3、打開安裝好的Wireshark程序，會看到如下圖所示界面：

主界面，打開「Capture」－＞「Options」

在最上面的Interface中選擇電腦真實的網卡（默認下可能會選中回環網卡），選中網卡後，下面會顯示網卡的IP地址，如圖中是172.31.30.41，如果IP正確，說明網卡已經正確選擇。

Capture Filter這一欄是抓包過濾，一般情況下可以不理會，留為空。

Display options就按照我們勾選的來做就行。好，點擊Start。

選擇好保存路徑和文件名（請不要中文）後，點擊保存。

『貳』 四大網路抓包神器，總有一款適合你~

無論是開發還是測試，在工作中經常會遇到需要抓包的時候。本篇文章 主要介紹如何在各個平台下，高效的抓包。

目前的抓包軟體總體可以分為兩類：

一種是設置代理抓取http包，比如Charles、mitmproxy這些軟體。

另一種是直接抓取經過網卡的所有協議包，其中最出名就是大名鼎鼎的wireshark以及linux自帶的抓包軟體tcpmp。

下面重點介紹一下這四個抓包工具的特點以及使用。

wireshark想必大多數程序員都不會陌生。wireshark在各個平台都可以安裝使用，它 可以抓取經過指定網卡的所有協議。 wireshark雖然很強大，但是對初學者其實不是很友好。

這也正是由於它太強大，它可以抓取所有包，所以初學者在使用時面對茫茫數據流不知所措。初學者需要認真的去學習怎麼過濾得到自己感興趣的包，但是如果不熟悉wireshark的過濾語法，要過濾數據包將舉步維艱。

過濾語法簡單介紹

wireshark的過濾語法總結起來其實也很簡單，就是 以協議開頭，後面可以跟著協議的屬性，然後加上一些判斷符號， 比如contains、==、>、<等等。比如只想展示http的協議內容，則直接在過濾器輸入框中輸入http即可。

如下圖：

比如我 只想看http協議的請求頭中uri包含』/api』的協議，就可以這么寫：

如果想通過目標ip或者來源ip來過濾包，就不可以以http協議為前綴了，因為這些是ip協議的相關屬性。 通過目標ip來過濾可以這么寫：

上面表示目標機器的ip是61.135.217.100並且協議是http的包。

wireshark支持很多種協議，我們可以通過右上角的expression來打開搜索支持的協議，還可以找出協議支持的屬性，然後填入期待的值，軟體會自動為我們構建過濾語句。

優點：

功能強大，可以抓取所有協議的包

抓到的包容易分析

缺點：

由於線上伺服器沒有GUI，只有命令行，因此無法在線上伺服器使用

無法分析https數據包，由於wireshark是在鏈路層獲取的數據包信息，所以獲取到的https包是加密後的數據，因此無法分析包內容。當然，我們可以對https數據包進行解密， 但是操作具有一定的復雜度，可能要消耗很多時間。

tcpmp是linux上自帶的一個抓包軟體(mac也有)，功能強大，也可以抓取經過指定網卡的所有協議包。

由於是命令行工具，tcpmp抓取到的包不易於分析，一個常見的做法是將tcpmp抓到的包輸出到某個文件，然後將文件拷貝下來用wireshark分析。

一些簡單的過濾參數：

抓包內容輸出到文件：

之後我們可以把test.cap直接用wireshark打開，就可以很直觀的分析包了。

用tcpmp輸出cap文件包：

tcpmp-r test.cap

Charles是一款http抓包工具，它是通過代理來實現的抓包。也就是我們在訪問網頁時需要配置代理，將代理指向Charles監聽的埠，之後我們的http請求都會發向Charles的埠，之後Charles會幫我們轉發並記錄協議內容。

Charles的使用非常簡單，配置好代理後，Charles就開始抓包了。

我們可以直接通過Charles的GUi查看包的內容：

上圖中的unknown表示https加密後的數據，所以看到不協議的具體內容。我們可以通過安裝Charles的證書，讓Charles也可以查看https協議的具體內容。

優點 :

使用簡單，只需配置一下代理地址就可以

要抓取https協議的配置也很簡單，只要安裝下charles的證書就可以了

mitmproxy是python寫的一款http抓包工具，雖然只支持http抓包，但是它的特性非常強大，它不僅可以抓包，還可以對請求進行攔截、重現等操作。和Charles一樣，它的原理也是基於代理，使用的時候需要設置代理指向它。

mitmproxy是命令行工具，但是也自帶了mitmweb工具，可以讓用戶在網頁上操作。另外，mitmproxy還支持用戶自行編寫插件，可以編寫腳本對請求進行處理，然後把修改後的請求發出去。

1、安裝 

首先需要在機器安裝python3以及pip3.之後通過pip3安裝

pip3 install mitmproxy

如果安裝mitmproxy過程中報錯MoleNotFoundError: No mole named '_ssl'，就需要安裝一下OpenSSL，然後再重新編譯安裝一下python3。

安裝好openSSL後再執行pip3 install mitmproxy

2、使用 

安裝後，直接在命令行輸入mitmproxy就會進入它的交互界面：

這時候mitmproxy已經開始監聽8080埠(默認)，接著，我們可以去瀏覽器設置代理。瀏覽器設置代理的方式有很多,這里不多做介紹。

設置完代理後，訪問瀏覽器的請求都會被發到mitmproxy上，mitmproxy根據規則對請求進行攔截(不配置攔截規則的話則都不攔截)，所有經過的請求都會被輸出：

在交互界面上可以通過快捷鍵操作請求。輸入問號』?』，可以查看快捷鍵的文檔。

3、下面介紹一些常用的快捷鍵和功能

① 請求過濾  

在請求列表交互界面，按下f鍵後，可以輸入一些過濾規則：

具體的過濾語法可以按下』?『鍵後，再按下方向鍵右』—>』或者l鍵。

② 請求攔截 

按下i鍵後，可以對指定的請求進行攔截。按mitmproxy收到指定條件的請求時，不會立馬把它轉發出去，而是等待我們執行resume操作後，才會把請求轉發出去——在這期間我們甚至可以對請求進行手動修改。

紅色字體表示該請求被攔截，之後我們可以按入a鍵來恢復該請求，可以輸入A鍵恢復所有被攔截的請求。

③ 查看/編輯請求 

把指示游標移動到某個請求上，按回車可以查看請求的內容。或者滑鼠直接點擊請求也可以。

之後通過左右方向鍵可以查看request、response、detail等信息。

如果要編輯請求，可以在這個界面輸入e，然後會讓我們選擇編輯哪塊內容：

之後就會進入vim編輯界面編輯相應的內容了（保存後會生效）。

④ 重發請求 

mitmproxy的游標指向某個請求時，按下r鍵可以重發這個請求(重發前可以對該請求進行編輯)。

按下』:』鍵後，可以輸入命令，這樣我們就可以通過過濾規則批量的重發請求

replay.client是mitmproxy內置的一個命令，我們也可以自行編寫命令。命令的編寫可以參考官網文檔，這里不做介紹。

⑤ 插件開發 

我們可以編寫插件，然後再啟動的時候指定插件，mitmproxy處理請求的時候會執行一個插件的鏈，這樣我們就可以對請求進行編輯然後再發送出去了。

借用官網的插件demo：

這個方法對每一個請求進行處理，然後列印序號。通過mitmproxy -s test.py來讓插件生效。通過插件可以綁定各種連接事件。感興趣的朋友可以自行去mitmproxy官網看文檔，這里不多做介紹。

⑥ 保存抓到的請求數據 

通過w快捷鍵我們可以把這次抓到的請求包保存到文件上。

通過mitmproxy -r file可以讀取以前抓取的請求信息進行分析。

優點：

命令行操作，可以在無GUI界面的伺服器上使用

對於這幾個抓包神器，我總結了下使用場景：

只抓http協議的話：

推薦使用mitmproxy。mitmproxy豐富的功能不僅可以滿足我們的抓包需求，還可以提升我們的工作效率。比如測試可以抓包後一鍵重發請求來重現bug，開發調試的時候可以修改請求內容等等。

如果是在線上的沒有GUI的伺服器：

推薦使用tcpmp，雖然mitmproxy也可以支持命令行抓包，但是生產環境的伺服器最好不要亂安裝第三方插件。另外，大多數伺服器都有裝tcpmp。我們可以通過把請求的內容輸出到文件，然後拷貝會自己的電腦用wireshark分析。

想要抓取http以外的協議的話：

直接上wireshark。功能強大。對於Charles，感覺用了mitmproxy之後，就基本用不上Charles了。Charles好像也可以編輯後再發送，但是感覺不是很好用，可能我用的不是很熟吧。

『叄』 抓包視頻教程

1、打開wireshark 2.6.5，主界面如下：

4、執行需要抓包的操作，如在cmd窗口下執行ping www..com。

5、操作完成後相關數據包就抓取到了。為避免其他無用的數據包影響分析，可以通過在過濾欄設置過濾條件進行數據包列表過濾，獲取結果如下。說明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協議且源主機IP或者目的主機IP為119.75.217.26的數據包。說明：協議名稱icmp要小寫。

5、wireshark抓包完成，就這么簡單。關於wireshark顯示過濾條件、抓包過濾條件、以及如何查看數據包中的詳細內容在後面介紹。

Wireshakr抓包界面介紹

說明：數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)， 用於設置過濾條件進行數據包列表過濾。菜單路徑：Analyze -->Display Filters。

2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。 不同協議的數據包使用了不同的顏色區分顯示。

3. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每一個欄位。各行信息分別為

（1）Frame:物理層的數據幀概況

（2）EthernetII:數據鏈路層乙太網幀頭部信息

（3）Internet Protocol Version 4:互聯網層IP包頭部信息

（4）Transmission Control Protocol:傳輸層T的數據段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:應用層的信息，此處是HTTP協議

TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。

4. Dissector Pane(數據包位元組區)。

Wireshark過濾器設置

初學者使用wireshark時，將會得到大量的冗餘數據包列表，以至於很難找到自己需要抓取的數據包部分。wireshark工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用於在抓取數據包前設置。

如何使用？可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果如下：

（2）顯示過濾器

顯示過濾器是用於在抓取數據包後設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛或者沒有設置導致抓取的數據包內容較多時使用顯示過濾器設置條件過濾以方便分析。同樣上述場景，在捕獲時未設置抓包過濾規則直接通過網卡進行抓取所有數據包，如下

執行ping www.huawei.com獲取的數據包列表如下

觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。並進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

wireshark過濾器表達式的規則

1、抓包過濾器語法和實例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與、|| 或、！非）

（1）協議過濾

比較簡單，直接在抓包過濾框中直接輸入協議名即可。

tcp，只顯示TCP協議的數據包列表

http，只查看HTTP協議的數據包列表

icmp，只顯示ICMP協議的數據包列表

（2）IP過濾

host 192.168.1.104

src host192.168.1.104

dst host192.168.1.104

（3）埠過濾

port 80

src port 80

dst port 80

（4）邏輯運算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的埠為80的數據包 host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數據包

！broadcast 不抓取廣播數據包

2、顯示過濾器語法和實例

（1）比較操作符

比較操作符有== 等於、！= 不等於、> 大於、< 小於、>= 大於等於、<=小於等於。

（2）協議過濾

比較簡單，直接在Filter框中直接輸入協議名即可。注意：協議名稱需要輸入小寫。

tcp，只顯示TCP協議的數據包列表

http，只查看HTTP協議的數據包列表

icmp，只顯示ICMP協議的數據包列表

（3） ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數據包列表

ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數據包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數據包列表

（4）埠過濾

tcp.port ==80, 顯示源主機或者目的主機埠為80的數據包列表。

tcp.srcport == 80, 只顯示TCP協議的源主機埠為80的數據包列表。

tcp.dstport == 80，只顯示TCP協議的目的主機埠為80的數據包列表。

（5） Http模式過濾

http.request.method=="GET", 只顯示HTTP GET方法的。

（6）邏輯運算符為 and/or/not

過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數據包表達式為ip.addr == 192.168.1.104 and icmp

（7）按照數據包內容過濾。假設我要以IMCP層中的內容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數據。如下

右鍵單擊選中後出現如下界面

選中Select後在過濾器中顯示如下

後面條件表達式就需要自己填寫。如下我想過濾出data數據包中包含"abcd"內容的數據流。包含的關鍵詞是contains 後面跟上內容。

看到這， 基本上對wireshak有了初步了解

『肆』 您好，這個微信怎麼抓包對方的ip。

捕包準備捕包分析工具條：開始捕包前，用戶需先進行過濾設置，選項內容版包括：選權網卡如果您有多塊網卡，需要選中能捕包到預想中的數據的網卡。協議過濾針對Internet通訊部分，常見的IP包類型為：TCP/UDP/ICMP。絕大部分是TCP連接的，比如HTTP(s)/SMTP/POP3/FTP/TELNET等等；一部分聊天軟體中除了採用TCP通訊方式外，也採用了UDP的傳輸方式，如 /SKYPE等；而常見的ICMP包是由客戶的Ping產生的。設置界面如下：IP過濾「IP過濾」在捕包過濾使用最為常見，IP匹配主要分兩類：一是不帶通訊方向，單純的是范圍的匹配，如上圖中的「From:to」類型；另外一類是帶通訊方向的一對一匹配，如上圖「」類型，不僅匹配IP地址，也匹配通訊的源IP和目標IP的方向。埠過濾「埠過濾」只針對兩種類型的DoD-IP包：TCP/UDP。數據區大小「數據區大小」的匹配針對所有DoD-IP類型包，不過需要說明的是，TCP/UDP的IP數據區是以實際數據區位置開始計算的，而其他類型的則把緊隨IP包頭後面的部分當作數據區。

『伍』 求一條wireshark抓包工具的規律規則

打開軟體後，下面紅框中的按鈕從左到右依次是：
-列表顯示所有網卡的網路包情況，一般用的很少；
-顯示抓包選項，一般都是點這個按鈕開始抓包；
-開始新的抓包，一般用的也很少；
-停止抓包，當你抓完包之後，就是點這個停止了；
-清空當前已經抓到的數據包，可以防止抓包時間過長機器變卡；
而實際上，一般我們只要知道上面加粗部分的按鈕功能，就可以完成抓包了，剩下的就是如何抓你想要的數據包，如何分析的問題了。

『陸』 抓包軟體和wireshark是怎樣使用的，如何設置簡單的過濾規則

方法/步驟
1過濾源ip、目的ip。在wireshark的過濾規則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1；
2埠過濾。如過濾80埠，在Filter中輸入，tcp.port==80，這條規則是把源埠和目的埠為80的都過濾出來。使用tcp.dstport==80隻過濾目的埠為80的，tcp.srcport==80隻過濾源埠為80的包；
3協議過濾比較簡單，直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議；
4
http模式過濾。如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"；
5
連接符and的使用。過濾兩種條件時，使用and連接，如過濾ip為192.168.101.8並且為http協議的，ip.src==192.168.101.8
and
http。

『柒』 wireshark抓包中如果想過濾IP為192.168.1.1的數據,應該輸入什麼過濾條件

ip.addr == 192.168.1.1
可以將源地址和目的地址為192.168.1.1數據過濾出來

『捌』 H·248協議語音抓包過濾條件

H·248協議語音抓包過濾條件在抓包過程，在封包顯示區上方的Filter中，輸入協議名稱，或者埠等，就可以在顯示區中，只顯示對應封包。
（比如：查找目的地址ip.dst==192.168.1.55，查找源地址ip.src==192.168.1.1，tcp.dstport==80隻過濾目的埠為80的等等）交換機抓包可以配置鏡像埠，在PC上抓包即可，比較簡單，但是有前提條件是交換機支持，其次就不同的廠家的配置命令和配置方式是不一樣的。

『玖』 wireshark 怎麼設置過濾遠程連接的IP地址

後面跟上掩碼位數就行了啊你這樣的話可以選擇過濾ip.addr==192.168.1.1/27
就行了，這樣過濾的就是192.168.1.0~192.168.1.31這個地址段的地址了

『拾』 做一個簡單的ip過濾防火牆，本來是想用winpacp進行一個抓包過濾，但是發現winpacp阻塞，控制包發送。

winpcap是protocol driver，不能過濾。 你要用NDIS防火牆才可以。