网络分析：WireShark

安装

WireShark 官网

过滤器

类别

• 显示过滤器模式
• 捕获过滤器模式

逻辑表达式

and：&&
or：||
成组：()

过滤实例

• 仅监听某域名

http.host ==  "qq.com"
http.host contains qq.com

• 仅监听HTTP报文

tcp.port==80

• 仅抓取arp报文

eth.type ==0x806

• 仅监听ICMP报文

icmp

• 仅监听HTTP请求方法为POST的报文

http.request.method == "POST"

• 仅监听HTTP的URI请求为"/q.cgi"路径的报文

http.request.uri == "/q.cgi"

• 仅监听与某主机的通信[只抓取和博客园服务器的通信,src表示源地址，dst表示目标地址]

ip.addr == 42.121.252.58 或者 ip.src==10.10.10.10

• 【多过滤条件：使用逻辑表达式】监听qq.com或者UDP报文

 (http.host contains  "qq.com") || udp

参考文献

• Wireshark技巧-过滤规则和显示规则
• wireshark过滤规则及使用方法

来源：https://www.cnblogs.com/johnnyzen/p/10793744.html