wireshark

抓包过滤器：

BPF语法：

• type(类型): host, net, port

• dir (方向): src, dst

• proto(协议): ether, ip, tcp, udp, http, ftp

• 逻辑运算符：&&, ||, !

例子：

1） src host 192.168.1.1 && dst port 80 抓取源地址为192.168.1.1目地为80端口的流量

2） host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1和192.168.1.2的流量

image.png

显示过滤器：

image.png image.png

WireShark如何抓取本地localhost的包

WireShark只能抓取经过电脑网卡的包，由于我是使用localhost或者127.0.0.1进行测试的，流量是不经过电脑网卡的，所以WireShark无法抓包。解决方案如下：
1 . 以管理员身份打开命令提示符
2 . 输入 route add 本机ip mask 255.255.255.255 网关ip （通过ipconfig可以查看）
3 . 将我们程序里面的localhost或者127.0.0.1替换成本机ip
4 . 使用WireShark即可抓到本地包
注:在测试完之后，使用route delete 本机ip mask 255.255.255.255 网关ip来删除我们上面的更改，不然我们本机的所有报文都会先经过网卡再回到本机，会比较消耗性能。