使用wireshark网络抓包，常用过滤规则及使用方法

Wireshark是一个功能十分强大的开源的网络数据包分析器，可实时从网络接口捕获数据包中的数据。它尽可能详细地显示捕获的数据以供用户检查它们的内容，并支持多协议的网络数据包解析。Wireshark 适用于 Windows、macOS 和 LINUX 操作系统。它可被用于检查安全问题和解决网络问题，也可供开发者调试协议的实现和学习网络协议的原理。我只在windows系统上使用过wireshark，安装过程我不再赘述，主要介绍一下它的基本使用尤其是过滤器的使用，多么高级的用法我也没用过，有更高的要求只能去官网看文档喽！

运行wireshark后首先要选择捕获的网卡，我这里捕获的是我的回环地址127.0.0.1，然后就开始捕获了，可以看到非常多的网络请求刷刷刷地更新。重点就是通过各种命令对这些网络请求进行过滤筛选了，找出自己需要的网络请求、进行分析。

首先列出常用的比较符和逻辑运算符。

eq, == 等于

ne, != 不等于

gt, > 大于

ge, >= 大于等于

-----------------

and, && 逻辑 与

or, || 逻辑 或

not, ! 逻辑 非

下面列出我常用的过滤指令，我想已经可以应对一般的需求了，需要更复杂的，请去查官网文档噢！把这些指令输入过滤器当中，就可以筛选出你需要的网络请求了。

#源IP过滤

ip.src == 192.168.1.1

#目的IP过滤

ip.dst == 192.168.1.1

#根据协议过滤

tcp/udp/arp/icmp/http/smtp/ftp/dns/ssl

#过滤端口

tcp.port == 80 or tcp.port == 443 or tcp.port == 8080

#过滤以太网mac地址

eth.dst == A0:00:00:04:C5:84

#udp目标端口大于udp源端口+1

udp.dstport >= udp.srcport + 1

#过滤http包含特定域名

http contains "baidu.com"

#过滤http post请求

http.request.method == "POST"

#过滤端口范围

tcp.port >= 1 and tcp.port >

上面列出的一些常用的过滤规则，自己进行一些改造后应该可以应对大部分使用了。