Wireshark高级技巧

? 捕捉过滤器语法

捕捉过滤器语法与显示过滤器的语法不一样，具体如下：

[协议] [字符串] [值] [逻辑操作符] [方向] [host] [主机] [其它表达式]

例 udp port 5060 and src host 10.0.0.1

? 使用实例

下面列举一些用得比较多的实例，相信通过使用捕捉过滤器，抓的包将变得更小更有利于网络分析，给工作带来极大的便利。 过滤器 ether src host 00:08:15:00:08:15 src host 192.168.0.1 host 192.168.0.1 not host 192.168.0.1 ip tcp 意义 仅抓取源MAC地址为00:08:15:00:08:15的网络包 仅抓取源IP地址为192.168.0.1的网络包 仅抓取源或目的IP地址为192.168.0.1的网络包 仅不抓取IP地址为192.168.0.1的网格包 仅抓取ip协议的网络包 仅抓取tcp协议的网络包 udp port 53 port 5060 tcp dst port 53 portrange 80-1024 仅抓取udp协议的网络包 仅抓取端口号为53的UDP或者TCP网络包 仅抓取端口号为5060的UDP或者TCP网络包 仅抓取目标端口为53的所有网络包 仅抓取端口范围为80到1024的所有网络包 host 192.168.0.1 and not (port 161 or port 162 仅抓取IP地址为192.168.0.1而且不含SNMPor port 80 or port 23 or arp or icmp) 和HTTP和Telnet和ARP和ICMP的网络包

远程抓包

Wireshark支持remote packet capture protocol协议远程抓包，只要在远程主机上安装Winpcap的rpcapd服务例程就可以，在Windows系统上，只要安装了Winpcap都会安装rpcapd工具，找到Winpcap的安装目录即可找到rpcapd服务器程序，双击rpcapd.exe即可开启rpcapd服务，其默认端口号为2002。

对于Linux，下载wpcap代码按如下方式编译即可： #unzip WpcapSrc_4_1_2.zip #cd winpcap/wpcap/libpcap #chmod +x configure runlex.sh #CFLAGS=-static ./configure #make #cd rpcapd #make

启动rpcapd服务含如下两种模式： 普通服务模式：./rpcapd -n 守护进程模式：./rpcapd -n -d

? 连接远端wireshark

打开wireshark，点击工具栏的第二个按钮，或者选择capture->options，然后Interface选择Remote，填写好远端Wireshark的IP地址和端口号，验证方式选取Password验证，然后填写管理员的用户名和密码点OK即可连接上远端机器，连上之后再选取用于抓包的网络接口卡，设置捕捉过滤器等等即可开始抓取远端的网络包了。