wireshark使用要点
目录
IP过滤
端口过滤
内容过滤
过滤udp
过滤tcp
IP过滤
ip.src == XXX.XXX.XXX.XXX 只显示消息源地址为XXX.XXX.XXX.XXX的信息
ip.dst == XXX.XXX.XXX.XXX 只显示消息目的地址为XXX.XXX.XXX.XXX的信息
ip.addr == XXX.XXX.XXX.XXX显示消息源地址为XXX.XXX.XXX.XXX,或者消息目的地址为XXX.XXX.XXX.XXX的信息
端口过滤
tcp.port == YYYY 只显示源端口或者目的端口为YYYY的tcp消息
udp.port == YYYY 只显示源端口或者目的端口为YYYY的udp消息
内容过滤
过滤udp
udp[8:X] == AA:BB:CC.... 从udp报文的第9个字节开始,取X个字节,假如这X个字节等于等号右边的AA:BB:CC...,则显示该udp报文。之所以跳过前面8个字节,是因为udp报文总以8个字节开头。
过滤tcp
tcp[20:X] == AA:BB:CC... 从tcp报文的第21个字节开始,取X个字节,假如这X个字节等于等号右边的AA:BB:CC...,则显示该tcp报文。之所以跳过前面20个字节,是因为tcp报文总以20个字节开头。但是实测wireshark发现,tcp[0:X], tcp[19:X], tcp[21:X]...等过滤效果都一样。