ip 分片 mtu1500 二层 2000字节呢,分片 大于1500 flags 0x00 分片偏移量
抓包过滤器
src host 192.168.1.1 && dst port 80 抓取地址为192.168.1.1 的 ,目的地址为80的流量
host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1 和192.168.1.2的流量
! broadcast 不抓取广播包
类型 host net port
方向 src dst
运算符 && and
|| or
! 非
过滤MAC 地址 ether host 00:88:ca:86:f8:0d
ether src ether host 00:88:ca:86:f8:0d
ether dst ether host 00:88:ca:86:f8:0d
过滤端口案例 port 80
!port 80
dst port 80
src port 80
tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flag.syn ==1
过滤IP 地址
ip.addr ==192.168.1.1
ip.src == 192.168.1.1
ip.dst == 192.168.1.1
ip.src == 192.168.1.1 and ip.dst == 192.168.1.2过滤协议 arp icmp tcp udp not http not arp
综合过滤 ip.src == 192.168.1.1 and tcp.dstport == 80
ip.addr == 192.168.1.1 and udp.port == 8080
tcp.flags.syn == 1 or tcp.flags.ack ==1显示过滤器
抓包过滤器 高级的玩法编辑自己的过滤器
高级功能:
数据流追踪tcp udp ssl 流 专家信息 统计 (包统计 字节统计) 协议分层 网络节点会话统计 (可以调整网络策略比如谁的网络带宽占用大) 数据包长度(方便安全分析 小型帧 巨型帧) ARP ICMP DNS IP 图标分析 ( I/O 图标 网络吞吐量) 数据流图 查看网络抖动
wireshark 分析真实的网络流量 分析常见的网络故障 分析常见的安全攻击
原文地址:http://blog.51cto.com/study2008/2115324
