Wireshark抓包常用指令
Wireshark的过滤规则
按IP地址过滤
| 需求 | 详细步骤 |
|---|---|
| 想看源IP为x.x.x.x的包 | 例: ip.src==192.168.0.17 |
| 想看目标IP为x.x.x.x的包 | 例: ip.dst==192.168.0.17 |
| 想看源或目标IP为x.x.x.x的包 | 例:ip.addr==192.168.0.17 |
按MAC地址过滤
| 需求 | 详细步骤 |
|---|---|
| 想看源MAC为x.x.x.x的包 | 例: eth.src==00-E0-70ED0-6A-AE |
| 想看目标MAC为x.x.x.x的包 | 例: eth.dst==00-E0-70ED0-6A-AE |
| 想看源或目标MAC为x.x.x.x的包 | 例: eth.addr==00-E0-70ED0-6A-AE |
按端口号过滤
| 需求 | 详细步骤 |
|---|---|
| 过滤tcp端口为4696的包 | 例: tcp.port==4696 |
| 过滤源端口为4696的包 | 例: tcp.srcport==4696 |
| 过滤目标端口为4696的包 | 例: tcp.dstport==4696 |
按协议类型过滤
| 需求 | 详细步骤 |
|---|---|
| arp | 例: arp |
| dhcp | 例:dhcp |
| https | 例: https |
规则组合
| 需求 | 详细步骤 |
|---|---|
| and | 例: 想看dhcp包,并且只想看某台电脑的dhcp包, dhcp and eth.addr==00-E0-70ED0-6A-AE |
| or | 例: 想看dhcp包或者arp包 dhcp or arp |
| ! | 例: 不想看arp包,除了arp以外的包 !arp |
通过ICMP报文判断网络故障,以下图的网络拓扑为例。
本机没有配网关进行ping目标会提示传输失败,常见故障。
配了网关,但是找不到网关,进行ping目标会提示"来自172.16.1.123的回复:无法访问目标主机"。故障原因,自己发arp寻找网关mac失败。
配了网关,也能找不到网关进行ping目标会提示"来自172.16.1.1的回复:无法访问目标网络",原因网关设备缺少路由。
配了网关,也能找不到网关,网关也有目标路由,但是后面的设备缺少路由。后面的设备有回包的路由,没有目的地的路由,报错:来自缺路由的设备,无法访问目标网络;后面的设备,没有回包的路由,没有目的地的路由。提示:超时。
测试,本机到过百度服务器中间经过了哪些设备。
在ping的过程中有环路时,可以tracert跟踪下进行测试。
