Skip to main content

03.wireshark的基本使用和FQA记录

1 基本的过滤使用

数据包的过滤基本的用法是用简单的&&||等逻辑运行符组合成条件表达式来实现的, 如: tcp.port == 5088 && http, 意思为过滤出tcp协议的5088端口且是http 协议。启用监听后,自然会把满足条件的数据包过滤出来。

1.1 ip地址过滤

每个数据包有2个地址,源地址和目标地址。 其表达式为:

表达式说明
ip.src == 192.168.0.1过滤出tcp数据包中源地址ip192.168.0.1的数据包
ip.dst == 192.168.0.2过滤出tcp数据包中目标地址ip192.168.0.2的数据包

1.2 协议过滤

可以直接指定要什么协议的数据包,如: http || mqtt, 则表示过滤出http协议或mqtt协议,注意协议名要为小写。

1.3 端口过滤

表达式说明
tcp.port == 1080过滤出tcp中发往1080端口的数据包

2 FQA

2.1在mac 网卡权限问题

如果监听一个网卡时,提示无权操作时,原因是当前用户没权监听这张网卡的socket文件,修改下需要权限就可以了 运行 sudo chmod 777 /dev/bpf*

2.2 本地127.0.0.1抓取

wireshark抓取环回链路数据包 为什么wireshark抓包抓不到本机自己跟自己的通信包,因为本机发完本机的数据包不会经过网卡, 而是经过环回链路返回本机,如果要监听环路链路,wireshark需要监听Loopback:lo0 在选择网卡时,有一个包含io命名的网卡,基本上就是可以监听本地回环数据包的网卡了。