雷火电竞官网-中国知名电竞赛事平台

　　Wireshark作為一個經典老牌的網絡抓包分析工具，其2.9.0版是很多用戶所喜歡的版本之一，它為為網絡工程師，網絡架構師，應用工程師，網絡顧問和其他IT專業人員的網絡故障排除工作提供了強有力的技術支持，是保護，分析和維護高效的網絡基礎架構的最佳實踐教育工具。

【過濾規則介紹】

　　使用過濾是非常重要的， 初學者使用wireshark時，將會得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉向。過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

　　過濾器有兩種，一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄；一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 下面就來簡單說一下過濾規則。

　　1、過濾IP，如來源IP或者目標IP等于某個IP

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能顯示來源IP和目標IP

　　2、過濾端口

　　例子:

　　tcp.port eq 80 // 不管端口是來源的還是目標的都顯示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只顯tcp協議的目標端口80

　　tcp.srcport == 80 // 只顯tcp協議的來源端口80

　　udp.port eq 15000

　　過濾端口范圍

　　tcp.port >= 1 and tcp.port <= 80

　　3、包長度過濾

　　例子:

　　udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和

　　tcp.len >= 7   指的是ip數據包(tcp下面那塊數據),不包括tcp本身

　　ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最后

　　frame.len == 119 整個數據包長度,從eth開始到最后

　　eth —> ip or arp —> tcp or udp —> data