文档介绍:【实用技巧】 wireshark 过滤抓包与过滤查看在分析网络数据和判断网络故障问题中, 都离不开网络协议分析软件( 或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包, 通过分析这些数据包, 我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如 ethereal ( wireshark 的前身),wireshark, omnipeek ,sniffer, 科来网络分析仪( 被誉为国产版 sniffer , 符合我们的使用****惯) 等等, 本人水平有限, 都是初步玩玩而已,先谈谈个人对这几款软件使用感受, wireshark ( ethereal )在对数据包的解码上,可以说是相当的专业, 能够深入到协议的细节上, 用它们来对数据包深入分析相当不错, 更重要的是它们还是免费得, 但是用 wireshark ( ethereal ) 来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像 omnipeek ,sniffer, 科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有 wireshark 专业) ,还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在, 但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版, 免费注册激活,但是只能对 50 个点进行分析。废话不多说,下面介绍几个 wireshark 使用小技巧,说的不好,还请各位多指点批评。目前 wireshark 最新版本是 的,先简单对比下 wireshark 的 和 版本。下面是 wireshark 的 版本的界面图: 点击图中那个按钮,进入抓包网卡选择,然后点击 option 进入抓包条件设置,就会打开如下图的对话框。如果想抓无线网卡的数据吧, 就把图中那个勾去掉, 不然会报错。点击 Capture Filte r 进入过滤抓包设置( 也可以在这个按钮旁边, 那个白色框直接写过滤语法, 语法不完成或无法错误,会变成粉红色的框,正确完整的会变成浅绿色) , Filter name 是过滤条件命名, Filter string 是过滤的语法定义, 设置好了, 点击 new 会把你设置好的加入到过滤条件区域,下次要用的时候,直接选者你定义这个过滤条件名。下面是 wireshark 的 版本的界面图: 界面有所变化,同样是点击 option 进入过滤编辑,如下图: 如果,左边的双击左边网卡可以直接进入过滤抓包设置对话框,中间是点击 option 后进入的对话框,再双击网卡进入下面的过滤抓包设置对话框,后面就跟 wireshark 的 1. 6 版本一样了。下面聊聊过滤抓包语法, Filter string 中怎么写语法。大家可以看看 capture Filte r 原来已有的怎么定义的。要弄清楚并设置好这个过滤条件的设置, 得弄清楚 TCP/IP 模型中每层协议原理, 以及数据包结构中每个比特的意思。上面这是抓得 ARP , 在数据链路层来看的, ARP 是上层协议, 在 包结构表示的协议类型代码是 0x0806 , 如果站