转载 转载请注明出处:6san.com

原文地址: http://www.6san.com/630/

wireshark捕获/过滤指定ip地址数据包

使用捕获过滤或显示过滤，wireshark可以仅捕获/显示经过指定ip的数据包，即某个ip收到或发出的所有数据包。wireshark捕获/显示过滤使用方法见：“wireshark过滤器”

显示过滤：wireshark过滤经过指定ip的数据包

显示过滤可以完整的复现测试时的网络环境，但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包

ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包

ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包

eth.addr== 80:f6:2e:ce:3f:00   //根据MAC地址过滤，详见“wireshark过滤MAC地址/物理地址”

ip.src==192.168.0.0/16   //网络过滤，过滤一个网段

捕获过滤：wireshark捕获经过指定ip的数据包

捕捉过滤抓包前在capture option中设置，仅捕获符合条件的包，可以避免产生较大的捕获文件和内存占用，但不能完整的复现测试时的网络环境。

host 192.168.1.1      //抓取192.168.1.1 收到和发出的所有数据包

src host 192.168.1.1    //源地址，192.168.1.1发出的所有数据包

dst host 192.168.1.1    //目标地址，192.168.1.1收到的所有数据包

src host hostname    //根据主机名过滤

ether  host 80:05:09:03:E4:35    //根据MAC地址过滤

net 192.168.1    //网络过滤，过滤整个网段

src net 192.168

dst net 192

使用“非/且/或”建立组合过滤条件可以获得更精确的捕获

非: ! or “not” (去掉双引号)

且: && or “and”

或: || or “or”

wirershark过滤指定ip收发数据包示例：

抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据

(tcp port 80) and ((dst host 192.168.1.2) or (dst host

192.168.1.3))   //捕获过滤

tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3)    //显示过滤

抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据

(icmp) and ((ether dst host 80:05:09:03:E4:35))

icmp && eth.dst==80:05:09:03:E4:35

抓取所有目的网络是192.168，但目的主机不是192.168.1.2 的TCP 数据

(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2))

tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)

捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信

host 192.168.1.1 and  (192.168.1.2 or 192.168.1.3 )

ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==192.168.1.3)

获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包

host 192.168.1.1 and ! 192.168.1.2

ip.addr==192.168.1.1&&!ip.addr==192.168.1.2

获取主机192.168.1.1接收或发出的telnet包，telnet使用tcp 23端口

tcp port 23 and host 192.168.1.1

tcp.port==23&&ip.addr==192.168.1.1