(轉載)自百度
問:wireshark使用問題 我在Capture Filter中填入:ip src==192.168.1.98 && http
其中192.168.1.98是我本機的
ip,我希望捕獲http數據,所以寫了http,可以出現以下錯誤:
Invalid capture filter: "http"!
That string looks like a valid display filter; however, it isn't a valid
capture filter (syntax error).
Note that display filters and capture filters don't have the same syntax,
so you can't use most display filter expressions as capture filters.
See the User's Guide for a description of the capture filter syntax.
該怎么改,請高手指點
答:在主界面Filter欄里輸入ip.addr==192.168.1.98&&http就可以了,合法的過濾條件的底色為淺綠色。Capture filter和display filter語法不同,后者的大多數表達法都不:適用於前者。另外,ip.src僅過濾源地址為指定地址的數據包,ip.dst僅過濾目的地址為指定地址的數據包,ip.addr或許才是你需要的。
其中192.168.0.100為本主機的IP地址
(1)看到這里ip.src只列出了源地址為192.168.0.100且為HTTP的數據包
(2)看到這里ip.dsc只列出了目標地址為192.168.0.100且為HTTP的數據包
(3)看到這里ip.addr不僅僅列出了源地址為192.168.0.100的,而且列出目標地址為192.168.0.100且為HTTP的數據包
從這里我們可以看到ip.addr等於ip.src和ip.dst的並集。
顯示過濾器的一些操作:
(1)只顯示ARP報文
首先為了產生ARP報文,需要清空ARP緩存。
(2)只顯示ICMP報文
在虛擬機的linux環境下ping主機產生了ICMP報文,這里就不截圖了。
(3)只顯示IP報文
這里現實了TCP、UDP、DNS、HTTP、IPV4、BROWSER等報文,因為這些報文都是基於IP報文的,也可以知道一點就是這里IP協議不單獨列出。
(4)只顯示TCP報文
(5)只顯示UDP報文
清除DNS緩存,如下截圖,然后打開百度的網址就可以產生DNS報文了。
(6)只顯示HTTP報文
