网络协议与攻击模拟-02-wireshark使用-显示过滤器

显示过滤器

语法

■比较操作符：==( eq ) !=( neq ) ＞大于（ gt ) ＜小于（ It ) >=大于等于（ ge ) <=小于等于（ le ) ■逻辑操作符： and (&&）与 or (||) 或 not 非 ■ IP 地址过滤： ip . addr ip . src ip . dst ■端口过滤： tcp . port udp . port tcp . dstport tcp . flag . syn tcp . flag . ack ■协议过滤： arp ip udp tcp icmp http

举例

■显示源 IP 等于192.168.18.14并且 tcp 端口为443

ip . src == 192.168.18.14 and tcp . port == 443

■显示源不为192.168.18.14或者目的不为202.98.96.68的

ip . src != 192.68.18.14 or ip . dst !=202.98.96.68

案例

1、开启 wireshark 抓包，抓取所有的报文，然后去访问一个 HTTP 的网站 2、过滤 DNS 的报文，找到对应的域名解析报文 3、根据 DNS 返回的 IP 地址，找到主机与服务器的 TCP 交互过程 4、找到客户机请求服务器的 HTTP 报文，追踪 HTTP 流情况