Wireshark笔记

数据包过滤

　　ip.addr==ip    基于ip地址的过滤

　　ip.src_hos == ip  目的ip过滤

基于协议的数据包过滤

    tcp协议数据包过滤

　　tcp.port==80 过滤80端口的数据包

　　tcp.srcport==80 过滤tcp协议源端口为80的数据包

　　tcp.dstport==80 过滤协议目的端口为80的数据包

    udp协议数据包过滤

　　udp.port==53   过滤udp协议端口为53的数据包

　　udp.srcport==53  过滤udp协议源端口为53的数据包

　　ump.dstport==53   过滤udp协议目的端口为53的数据包

组合条件数据包过滤

    and 同时满足所有条件的数据包

　　如：ipaddr==192.168.1.1 and tcp.port==80

 

 

    Or 满足任意一条的数据包

　　如：tcp.port==80 or ump.port==53

 

 

    Not 过滤给出条件相反的数据包

　　如：not ip.addr==192.168.1.1

 

 

数据包分析

    数据链路层

　　Destination:目的Mac地址

　　Source：源Mac地址

　　Type：以太网类型

    网络层

　　version：ip协议版本

　　Header Length：20bytes ip头长度

　　Differentiated Services Field:0x00 服务类型

　　Total Length 数据包总长

　　Identification 标识符（唯一）

　　Flags 标记

　　Fragment Offset 分片偏移

　　Time to Live 发出的包TTL值

　　Header Checksum 校验和

　　Source Address 源ip

　　Destination Address 目的ip

    传输层

　　Source Port：源端口

　　Destination Port: 目的端口

　　Sequence Number: 序号

　　Acknowledgment number: 确认号

　　HeaderLength：tcp头长度

　　Flags：标志位

    应用层

　　Request Method：请求方法

　　Request URL：请求的统一资源标识符

　　Host：主机名

　　Full request URL：完整url