Wireshark抓包分析和过滤策略

**（一）**Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。我们可以直接进入官方网站http://www.wiresshark.org/download.html 直接下载相应位数的版本。

（二）对于下载安装后不显示相关的网络连接问题，主要是缺少WinPcap组件，可以可进入我的百度网盘链接: https://pan.baidu.com/s/1gfpgSQf 密码: m3pq 或者去百度下载。安装好后就可以正常使用了。

（三）增加过滤条件
1、IP地址过滤
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107//意思是指源地址是192.168.1.107或者是目的地址是192.168.1.107全部列出来。简单方法是：ip.addr eq 192.168.1.107
2、端口过滤
tcp.port eq 80 //不管端口是来源的还是目标的都显示
tcp.port ==80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport==80 //只显示tcp协议的目标端口80
tcp.srcport==80 //只显示tcp协议的来源端口80
3、协议过滤
在过滤器中直接输入：tcp,udp,arp,icmp;http,smtp,ftp,dns,msnms,ip,ssl 指令，既可以过滤了。
4、MAC地址过滤
在过滤器中输入：eth.addr eq A0:00:00:04:C5:84
5、Http模式过滤
在过滤器中输入：http.request.method==”GET”
http.request.method==”POST”