win上使用wireshark 抓包 | 安装、实战抓包、筛选规则

本文介绍: 然后捕获就选指定的网口就可以了，像我如果要抓ping www.baidu.com 的包。好像wireshark的一个插件不维护，导致需要重新安装插件，不然就只能显示很单一的网卡。相比，在linux 上抓包，直接使用命令 tcpdump 再添加筛选规则就可以。win 上抓包，使用wireshark 直接运行，通过选定网卡、配置筛选规则。这些问题，归根结底就是格式不正确，而最本质的问题，就是网口不适配。最开始，没搞明白，出现一些一些报错，如。根据提示，安装插件，或者点击上面的链接。

详细其实可以看wireshark 首页面上会有一小段报错

下载链接download
最开始，没搞明白，出现一些一些报错，如
Data written to the pipe is neither in a supported pcap format nor in pcapng format.
配置wireshark 时出现Multiple files:No file limit given. you must specify a file size,interval,or number of packets for each file
这些问题，归根结底就是格式不正确，而最本质的问题，就是网口不适配
提示如下：
Local interfaces are unavailable because no packet capture driver is installed.
根据提示，安装插件，或者点击上面的链接

安装插件后，主界面可以看到本地的很多网口
参考
在这里插入图片描述
然后捕获就选指定的网口就可以了，像我如果要抓ping www.baidu.com 的包
打开wireshark 然后选择网卡，然后采用 ip （110.242.68.66）或者icmp 筛选
[Length: 32]
Frame 4958: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:0f:e2:f7:6e:75, Dst: a8:a1:59:f4:b4:0d
Internet Protocol Version 4, Src: 110.242.68.66, Dst: 192.168.xx.yy
Internet Control Message Protocol
Type: 0 (Echo (ping) reply)
Code: 0
Checksum: 0x4f95 [correct]
[Checksum Status: Good]
Identifier (BE): 1 (0x0001)
Identifier (LE): 256 (0x0100)
Sequence Number (BE): 1478 (0x05c6)
Sequence Number (LE): 50693 (0xc605)
[Request frame: 4957]
[Response time: 43.382 ms]
Data (32 bytes)
Data: 6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
Text: abcdefghijklmnopqrstuvwabcdefghi
[Length: 32]

打开wireshark 主界面下面会有本机的一些网口
在这里插入图片描述

wireshark 的筛选规则

########################################
###筛选指定ip
ip.addr == 192.168.0.2

###筛选指定的端口
tcp.port == 80

###筛选指定的源ip 和目的ip
ip.src == 192.168.1.2 and ip.dst == 192.168.1.3


###筛选指定的源ip 和目的端口
ip.src == 192.168.1.2 and tcp.dstport == 443


###筛选指定的源端口和目的ip
tcp.srcport == 8080 and ip.dst == 192.168.1.3

其他，未列入的筛选规则，可以类似的举一反三。
##################################