设置wireshark过滤get

Ⅰ wireshark如何按照域名过滤

在抓包之前设置抓包过滤器，然后start或者在vm当中，在纯净无干扰的网络环境下抓。不是所有包我都要抓取：Capture->Options->Capture Filter。

需要掌握filter使用语法。如果不想掌握，可以尝试基于进程抓包分析工具QPA，QPA搜索使用方式是直接在筛选框中输入关键词，然后回车即显示相关目标报文。

工作流程

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

Ⅱ wireshark怎么设置过滤条件

应写为：
ip.addr==210.32.1.123||tcp.port==80

这样就可以过滤出来和这个IP相关的80端口的信息了。

Ⅲ wireshark怎么过滤域名

一、IP过滤：包括来源IP或者目标IP等于某个IP

比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：

比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围

tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

等等

排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：

比如：

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：

例子:

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-e.gif”

http contains “GET”

http contains “HTTP/1.”

// GET包

http.request.method == “GET” && http contains “Host: ”

http.request.method == “GET” && http contains “User-Agent: ”

// POST包

http.request.method == “POST” && http contains “Host: ”

http.request.method == “POST” && http contains “User-Agent: ”

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”

一定包含如下

Content-Type:

六、连接符 and / or