一、针对IP抓取
1、过滤格式:
(1)、ip.src eq x.x.x.x
(2)、ip.dst eq x.x.x.x
(3)ip.src eq x.x.x.x or ip.dst eq x.x.x.x
二、针对端口过滤
1、过滤格式:
(1)、tcp.srcport==xx
(2)、tcp.port==xx
三、针对协议过滤
1、过滤格式:
(1)、ip.addr == x.x.x.x and icmp
四、针对DHCP过滤
一、针对IP抓取
1、过滤格式:
(1)、ip.src eq x.x.x.x
ip.src eq x.x.x.x:抓取固定源IP(源IP就是发起数据访问的访问者)是x.x.x.x的所有报文。
(2)、ip.dst eq x.x.x.x
ip.dst eq x.x.x.x:抓取固定目的IP(目的IP就是数据访问的被访问者)是x.x.x.x的所有报文。
(3)ip.src eq x.x.x.x or ip.dst eq x.x.x.x
ip.src eq x.x.x.x or ip.dst eq x.x.x.x:抓取固定源到目的。
二、针对端口过滤
1、过滤格式:
(1)、tcp.srcport==xx
tcp.srcport==8080:匹配源端口是TCP的8080端口
(2)、tcp.port==xx
tcp.port==80:匹配端口为80。
三、针对协议过滤
1、过滤格式:
(1)、ip.addr == x.x.x.x and icmp
ip.addr == x.x.x.x and icmp:过滤ip地址是x.x.x.x 并且协议是ICMP的报文。
四、针对DHCP过滤
先需要Win加R调出运行窗口,接着输入cmd命令,输入ipconfig /release进行释放IP,然后输入ipconfig /renew重新获取IP。
使用bootp过滤报文,Wireshark在处理DHCP时,使用的是BOOTP协议,所以在Packet Detail 面板中看到的是Bootstrap Protocol,而不是DHCP(现在新版本可以直接dhcp过滤报文)。
1、发现阶段:客户端以广播方式发送DHCP-DISCOVER报文。
2、提供阶段:服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。
3、选择阶段:客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
4、确认阶段:服务器收到客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器进行回复,如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。