wireshark過濾條件拼接

❶ wireshark抓包命令總結

參考的循環抓包命令，其中的過濾條件需要根據實際情況修改（該命令最多佔用4G的存儲空間，且會在後台持續運行）：sudo nohup tcpmp -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &

-W filecount .  -C file_size . -s 80  snaplen 截取特定的長度

常用排錯過濾條件:

對於排查網路延時/應用問題有一些過濾條件是非常有用的：

tcp.analysis.lost_segment：表明已經在抓包中看到不連續的序列號。報文丟失會造成重復的ACK，這會導致重傳。

tcp.analysis.plicate_ack：顯示被確認過不止一次的報文。大涼的重復ACK是TCP端點之間高延時的跡象。

tcp.analysis.retransmission：顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的，過多重傳可能有問題。這通常意味著應用性能緩慢和/或用戶報文丟失。

tcp.analysis.window_update：將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零，這意味著發送方已經退出了，並等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了。

tcp.analysis.bytes_in_flight：某一時間點網路上未確認位元組數。未確認位元組數不能超過你的TCP窗口大小（定義於最初3此TCP握手），為了最大化吞吐量你想要獲得盡可能接近TCP窗口大小。如果看到連續低於TCP窗口大小，可能意味著報文丟失或路徑上其他影響吞吐量的問題。

tcp.analysis.ack_rtt：衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網路延時（報文丟失，擁塞，等等）。

❷ wireshark快速指南

學過網路的同學都知道，互聯網信息的傳遞都是通過網路數據包來完成的。那麼抓取網路數據包對於我們學習網路知識，查找網路問題甚至逆向工程都是至關重要的。
現在本文以Linux 下版本號為1.10.14的wireshark向大家介紹。

wireshark是一款開源的，支持多種操作系統，多種網路協議的抓包工具。它簡單容易上手，並且說明文檔齊全（官網有詳盡的guide book）。
下面跟其他常見的抓包工具進行對比：

注意：只要將手機網路連接到安裝了wireshark的主機上（比如開熱點wifi），就可以抓到手機上的數據包，而不一定要在手機上安裝抓包工具

主要介紹兩個頁面，一個是起始頁，一個是包列表頁。起始頁展示了介面列表（網卡，藍牙，USB等數據埠），捕獲選項以及一些幫助信息。點擊開始捕獲包後就會進入包列表頁，包列表頁展示捕獲到的包，選中包對應的協議信息及其原始十六進制數據

起始頁展示了可供抓包的介面列表，選中想要捕獲的介面開始抓包。捕獲選項里可以設置捕獲過濾規則以及捕獲停止條件。

進行捕獲後，會出現三個欄目：數據包列表欄目，包協議信息欄目，包位元組信息欄目。我們可以通過數據包列表找到想要的某個數據包，滑鼠選中後，在包協議信息欄目分析該包的協議信息，如果想要知道某個位元組的含義則在包位元組信息欄目分析。注意在數據包列表欄目上方有個Filter 輸入框，這里我們可以輸入顯示過濾表達式，過濾掉數據包列表中一些不需要展示的數據包。

3.1.1 從文件導入
數據包已經被抓取並導出到文件，此時我們只需用wireshark導入此捕獲文件即可獲取之前捕獲的數據包。文件的格式有很多種，可以導入tcpmp導出的捕獲文件。有趣的是，也可以導入png,jpg等格式的圖片以及mp4等格式的視頻文件，導入後可以看到圖片和視頻也是一個個數據包組成的，圖片漸近式展示以及視頻不需完全載入就可播放等特性估計跟這有關。

3.1.1 實時抓取
選擇特定介面，點擊start按鈕後，即開始實時抓取。

一般地，介面的數據包數量龐大並且各個包之間的關聯性不強。我們想要得到特定的數據包就必須過濾無關的數據包，從而快速的進行分析。wireshark過濾方式有兩種，第一種是捕獲過濾，這種過濾是捕獲階段進行，它只捕獲未被過濾的數據包，這樣可以減少抓取數據包的數量。第二種是顯示過濾，這種過濾在分析階段進行，它在捕獲的數據包基礎上進行過濾。

3.2.1 捕獲過濾
過濾語法
一般格式： [not] primitive [and|or [not] primitive ...]
primitive 一般由type，dir，proto這三類限定符組成

3.2.2 顯示過濾
過濾語法
一般格式： （過濾欄位 比較操作符 value） 組合表達式 （過濾欄位 比較操作符 value）...

3.3.1 追蹤數據流
將數據包進行關聯，可通過某個數據包即可關聯到該數據包傳輸鏈的所有數據包，比如可以通過一個tcp數據包可關聯到這個tcp會話的所有數據包。
操作：滑鼠點擊數據包列表欄的某個數據包->右鍵->Follow TCP Stream(Follow UDP Stream，Follow SSL Stream)

3.3.2 端點
端點在不同的協議層有不同的含義，在網路層，特定IPv4，IPv6地址為一個端點，在數據運輸層，特定TCP埠，UDP埠為一個端點。端點這個頁面為我們展示每個端點的數據包發送和接收情況。
操作：Statistics->Endpoints

3.3.3 對話
對話頁面展示兩個端點之間的包傳輸情況。端點在不同協議層有不同含義，對話也一樣。在網路層，對話是兩個IP之間進行，在數據傳輸層，對話在兩個埠之間進行。
操作：Statistics->Conversations

3.3.4 流量圖
流量圖使用圖形化展示了數據包的抓取情況。
操作：Statistics->IO Graphs

3.3.5 協議分層
協議分層頁面將抓取到數據包按網路協議進行了分類，我們可以看到每個網路層抓取包的情況。
操作：Statistics->Protocol Hierarchy Statistics

3.3.6 專家信息
wireshark 幫我們分析了數據包情況，通過專家信息頁面提示網路中出現的問題，它將數據包分為4個等級（Error，Warnings，Notes，Chats），從左至右問題嚴重程度依次減少，Chats是正常的數據包。Error表示可能導致問題的數據包。
操作：Analyze->Expert Infos

一般地，如果不設置靜態MAC-->IP對應表，機器都會發送arp請求來獲得其他機器的mac地址。
如此，我們只需要在顯示過濾器輸入 arp 即可獲得apr數據包。捕獲信息見下圖：

wireshark官方文檔

❸ wireshark 抓包的過濾條件（關於syn包）

看下面紅色的，如果不知道欄位怎麼設置，就點擊，左下角會顯示該欄位的過濾

比如tcp.flags.ack==1就會過濾出所有的ack包。