本文列舉wireshark 常用的OSI三層抓包和顯示過濾規(guī)則.

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站制作、網(wǎng)站設(shè)計、外貿(mào)網(wǎng)站建設(shè)與策劃設(shè)計,建華網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:建華等地區(qū)。建華做網(wǎng)站價格咨詢:18980820575

Wireshark Information

封包詳細信息 (Packet Details Pane)

這個面板是我們最重要的，用來查看協(xié)議中的每一個字段。

各行信息分別為

Frame: 物理層的數(shù)據(jù)幀概況

Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

Transmission Control Protocol:傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

Hypertext Transfer Protocol:應(yīng)用層的信息，此處是HTTP協(xié)議

wireshark與對應(yīng)的OSI七層模型

wireshark 常用快捷鍵可以查看上一篇“二層抓包過濾文章”

一、抓包過濾表達式的規(guī)則（OSI 三層）

#ip/ipv6 只抓取IPv4或IPv6的數(shù)據(jù)包

#IPV6 抓包規(guī)則

#host X.X.X.X 只抓取源于或發(fā)往所指定的主機名或IP地址的流量（比如：host 192.168.1.1）

host 172.18.202.248

備注：對于同一個目標抓取報文，既可以抓取二層抓取規(guī)則，也可以采用三層抓取規(guī)則，其結(jié)果是一樣的；

#dst host X.X.X.X 只抓取發(fā)往所指定的主機名或IP地址的流量

dst host 172.18.202.248 = dst 172.18.202.248

#src host X.X.X.X 只抓取源于所指定的主機名或IP地址的流量

src host 172.18.202.248

#gateway X.X.X.X 只抓穿過host的流量

#net X.X.X.X 只抓取源于或發(fā)往標識符的IPv4huoIPv6網(wǎng)絡(luò)號的流量（比如：net 192.168.1.0/24 或net 192.168.1.0 mask 255.255.255.0 ）

net 172.18.202.0/24

net X.X.X.X = 【dst net X.X.X.X + src net X.X.X.X】

#dst net X.X.X.X 只抓取發(fā)往標識符的IPv4huoIPv6網(wǎng)絡(luò)號的流量

dst net 172.22.202.0/24

#src net X.X.X.X 只抓取源于標識符的IPv4huoIPv6網(wǎng)絡(luò)號的流量

src net 172.18.18.0/24

broadcast 只抓取IP廣播包

ip broadcast

multicast 只抓取IP多播包

ip6 multicast

ip multicast

@混合表達式過濾規(guī)則

ip host 172.18.202.248 and icmp

src host 172.18.202.248 or arp

src host 172.18.202.248 or (arp and !broadcast )

src host 172.18.202.248 or ( (arp and !broadcast ) and ! tcp)

src host 172.18.202.248 and ( (arp and !broadcast ) and ! tcp)

net 172.18.202.0/24 and (arp and !broadcast ) or ! tcp

net 172.18.200.0/21 and ether src 8C-EC-4B-69-A6-A7 and arp

二、顯示過濾表達式的規(guī)則（OSI 三層）

混合表達式示例

ip.addr == 172.18.202.248 and not tcp.port in {80 25 1433}

--過濾顯示ip等于172.18.202.248 并且 tcp端口不是80、25、1433的報文；

#ip proto XX 只抓取IP報頭的協(xié)議類型字段值等于特定值的數(shù)據(jù)包

ip.proto

ip.proto and tcp or http

tcp.dstport == 80

#ip6 proto xx 只抓取IPv6報頭的協(xié)議類型字段值等于特定值的數(shù)據(jù)包

ICMP

#TCP or udp

ip.proto == 6

ip.proto == 2

常見的DNS顯示過濾器

讓Wireshark只顯示DNS查詢和DNS響應(yīng)數(shù)據(jù)包

dns.flags.response== 0 (DNS 查詢)

dns.flags.response== 1(DNS 響應(yīng))

dns

ip.proto == 25

=========
常見的協(xié)議類型字段值
1 ICMP
2 IGMP
6 TCP
17 UDP
47 GRE
88 EIGRP
89 OSPF
112 VRRP

好了，今天就列舉這么多，希望能對閱讀者有所幫助。學以致用，多實踐多總結(jié)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

名稱欄目：Wireshark【OSI三層】抓包過濾規(guī)則和顯示過濾規(guī)則實例-創(chuàng)新互聯(lián)
本文路徑：http://weahome.cn/article/jpdsc.html