Wireshark的主要功能

Wireshark 的主要功能包括：
实时数据捕获：能够捕获实时流量并对其进行分析。
数据包解码：支持数百种网络协议，能够解码并显示各种协议的详细信息。
过滤功能：提供强大的过滤功能，可以根据特定条件筛选数据包。
数据包重组：能够重组和分析分片的数据包，以查看完整的通信内容。
统计和图表：提供多种统计和图表功能，帮助用户进行流量分析和趋势预测。
学习来源:
https://blog.csdn.net/Python_paipai/article/details/140341570

过滤功能的学习

Wireshark 支持两种类型的过滤器：显示过滤器和捕获过滤器。它们的语法和使用方式有所不同。
显示过滤器：用于在捕获后筛选和显示特定的数据包。显示过滤器是在数据包已经被捕获之后应用的，
    它不会影响实际的数据包捕获过程。

捕获过滤器：用于在捕获过程中筛选数据包。捕获过滤器是在数据包捕获之前应用的，
    它会直接影响捕获到的数据包数量和内容。

显示过滤器

显示过滤器是 Wireshark 中用于在数据包捕获之后，根据特定条件筛选和显示数据包的工具。
显示过滤器的语法相对简单，使用字段名、运算符和值来构建过滤条件。

显示过滤器的基础语法包括：

字段名：指定要过滤的数据包字段，如 ip.addr、tcp.port 等。
运算符：用于比较字段值的运算符，如 ==、!=、>、<、>=、<= 等。
值：与字段名进行比较的值，可以是数值、字符串、布尔值等。

显示过滤器-举例

ip.addr == 192.168.1.1  
tcp.port == 80    
http   

ip.src == 192.168.3.9
ip.dst == 192.168.3.66   
ip.addr == 192.168.3.9   

tcp.srcport == 80   
tcp.dstport == 443   
tcp.port == 80   

排除流量:
!icmp  

过滤http流量
http.host == "www.example.com"   
http.request.uri contains "/login"   
http.request.method == "POST"   
http.response.code == 200   

tcp相关:
tcp.flags.syn == 1   SYN 包   
tcp.stream eq 1   

显示过滤器-条件组合

ip.src == 192.168.3.9 && tcp.dstport == 8080   
frame.len >= 100 && frame.len <= 200
http.request.uri matches ".*login.*"   

(ip.src == 192.168.3.9 && tcp.dstport == 80) || (ip.src == 192.168.3.66 && tcp.dstport == 443)

捕获过滤器

捕获过滤器
捕获过滤器在数据包捕获过程中起作用，通过预先定义的条件，
仅捕获满足条件的数据包。捕获过滤器使用 Berkeley Packet Filter (BPF) 语法，
能够在捕获时减少不必要的数据包，提升捕获效率。

捕获过滤器的基础语法包括：

字段名：指定要过滤的数据包字段，如 host、port、net 等。
运算符：用于比较字段值的运算符，如 ==、!=、>、<、>=、<= 等。
值：与字段名进行比较的值，可以是数值、字符串、布尔值等。

捕获过滤器的语法

host 192.168.3.9   
port 80   

src host 192.168.1.1   
dst host 192.168.3.66 
src port 80    

排除法:
not host 192.168.1.1   

条件组合
tcp port 80 and host www.example.com