文档介绍:在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、
抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数
据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。 ARP包。或许有的朋友这里不太明白,建议去看《TCP/IP
协议族》《TCP/IP 协议详卷》等等原来书籍,先理解数据包结构。从这个设置来看,可以
看出 wireshark 的过滤抓包多么深入了。
现在我简单讲讲过滤抓包语法以及怎样设置想要的过滤抓包语法(Filter 该填string
写什么东西)。
组合过滤语法常使用的连接:过滤语法 1 and 过滤语法 2 只有同时满足语法 1 和 2 数据才会被捕获
过滤语法 1 or 过滤语法 2 只有满足语法 1 或者 2 任何一个都会被捕获
not过滤语法 除该语法外的所有数据包都捕获
常用的过滤语法说明:
etherhost D0:DF:9A:87:57:9E定义捕获 MAC为 D0:DF:9A:87:57:9E 的数据包,不管
这个 MAC地址是目标 MAC还是源 MAC,都捕获这个数据包
ether proto0x0806 定义了所有数据包中只要 ethernet协议类型是
0x0806的数据包进行捕获。
如果我们用 and来组合这两个语法:
ether D0:DF:9A:87:57:9Ehost ether 0x0806proto and(该语法等价于 ether host
D0:DF:9A:87:57:9Earp) and
表示我们只针对 MAC为 D0:DF:9A:87:57:9E的 ARP包进行捕获。
arp 该语法只捕获所有的 arp数据包
ip 该语法只捕获数据包中有 IP头部的包。(这个语法可以用 ether
proto 0x0800,因为 ethernet协议中得 0x0800表示 ip)
host IP头部中只要有 ,不管
它是源 IP地址还是目标 IP地址。
tcp 该语法只捕获所有是 tcp的数据包
tcpport 23 该语法只捕获 tcp端口号是23的数据包,不管源端口还是目标端口。
udp 该语法只捕获所有是 udp的数据包
udp 53port 该语法只捕获 udp端口号是 2