WireShark抓包命令

　　本机环回包

　　在进行通讯开发的过程当中，咱们每每会把本机既做为客户端又做为服务器端来调试代码，使得本机本身和本身通讯。可是wireshark此时是没法抓取到数据包的，须要经过简单的设置才能够。 具体方法以下：

 

      ①：以管理员身份运行cmd

 

      ②：route add 本机ip mask 255.255.255.255 网关ip

 

      例如： route add 172.16.51.115 mask 255.255.255.255 172.16.1.1 metric 1

 

      使用完毕后用 route delete 172.16.51.115 mask 255.255.255.255 172.16.1.1 metric 1 删除，不然全部本机报文都通过网卡出去走一圈回来很耗性能

 

      此时再利用wireshark进行抓包即可以抓到本机本身同本身的通讯包，这样配置的缘由是将发往本机的包发送到网关，而此时wireshark能够捕获到网卡驱动的报文实现抓包。

　　

　　WireShark语法

1. 基本语法：

   等于：==
   小于：<
   而且：&&
   或者：||

2. 过滤来源IP或者目标IP：

   ip.src == 192.168.1.107 ； 
   ip.dst == 192.168.1.107；
   ip.addr == 192.168.1.107；

3. 过滤端口：

   tcp.port == 80； 
   udp.port == 80；
   tcp.dstport == 80； // 只显tcp协议的目标端口80
   tcp.srcport == 80； // 只显tcp协议的来源端口80

4. 过滤MAC：

   eth.dst == A0:00:00:04:C5:84；
   eth.src == A0-00-00-04-C5-84；

5. 包长度过滤：

   udp.length == 26 这个长度是指udp自己固定长度8加上udp下面那块数据包之和
   
   tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp自己
   
   ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip自己到最后
   
   frame.len == 119 整个数据包长度,从以太网开始到最后

6. HTTP过滤：

   http 只显示http报文
   ssl 只显示ssl加密报文(https)
   
   http.request.method == "GET"
   http.request.method == "POST"
   
   http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
   http.request.uri == "/online/setpoint"
   
   http.content_type == "text/html"
   
   http.response.code==302