Wireshark过滤规则

按ip地址过滤

想看源ip为xx的包

过滤条件中输入:ip.src==源ip地址

自己电脑的ip地址查询:ipconfig /all

想看目标ip为xx的包

过滤条件中输入:ip.dst==目标ip地址

想看源或目标ip为xx的包

过滤条件中输入:ip.addr==ip地址

按MAC地址过滤

想看源MAC为xx的包

过滤条件中输入:eth.src==源MAC地址

自己电脑的MAC地址查询:ipconfig /all

想看目标MAC为XX的包

过滤条件中输入:eth.dst==目标MAC地址

想看源或目标MAC为xx的包

过滤条件中输入:eth.addr==MAC地址

按端口号过滤

端口号:表示一台计算机中的特定进程所提供的服务,用来区分相同计算机所提供的不同服务

按照端口号分类:

  1. 公认端口:0~1023。它们紧密绑定于一些服务,通常这些端口的通讯明确表明了某种服务的协议,如:80端口对应与HTTP通信,21端口绑定与FTP服务,22端口绑定与ssh服务,25端口绑定于SMTP服务,135端口绑定与RPC(远程过程调用)服务。
  2. 注册端口:1024~49151。它们松散的绑定于一些服务,也就是说有许多服务绑定于这些端口,这些端口同样用于其他许多目的,如:许多系统处理端口从1024开始
  3. 动态或私有端口:49152~65535。理论上,不应为服务分配这些端口,通常机器从1024开始分配动态端口。例外:SUN的RPC端口从32768开始。

按照协议类型分类:可分为TCP端口,UDP端口,IP端口,ICMP

  1. TCP端口:即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP的21端口,Telnet的23端口,SMTP的25端口,HTTP的80端口。
  2. UDP端口:即用户数据报协议端口,无需在客户端和服务器端建立连接,安全性得不到保障。常见的DNS的53端口,SNMP(简单网络管理协议)的161端口,QQ使用的8000和4000端口。
  3. 保留端口:UNIX有保留端口号的概念,只有超级用户特权的进程才允许给它自己分配一个保留端口号。这些端口号介于1~1023之间,一些应用程序将它作为客户与服务器认证的一部分。

端口使用的一些注意事项

  1. 不要使用端口号小于1024的端口。
  2. 端口号一般习惯为4位整数,在同一台计算机上端口号不能重复,否则,会产生端口号冲突
  3. 客户端端口号因存在时间很短暂又称临时端口号,大多数TCP/IP实现给临时端口号分配1024—5000之间的端口号。大于5000的端口号是为其他服务器预留的 。

过滤tcp端口为xx的包

tcp.port==端口

仅想过滤源端口为xx时:tcp.srcport==源端口

仅想过滤目标端口为xx时:tcp.dstport==源端口

过滤udp端口为xx的包

udp.port==端口

仅想过滤源端口为xx时:udp.srcport==源端口

仅想过滤目标端口为xx时:udp.dstport==源端口

按协议类型过滤

直接输入对应协议的名称即可

eg:arp dhcp https

规则组合

and:

eg: 想看dhcp包,并且只想看某台电脑的dhcp包 :dhcp and eth.addr==MAC地址

or:

eg: 想看dhcp包或者arp包:dhcp and arp

!:

eg: 想看除了arp以外的包:!arp