wireshark捕获特定ip和端口(wireshark抓包过滤ip和端口)

分片很容易看出来的。比如1个UDP包超过MTU大小了。如果有分片而没有截获的话 注意截包的时候不要指定tcp,udp这类协议或者端口，因为分片包不包含这些。可以指定ip，然后自己看一下就知道是否有分片包了

点击wireshark图标，打开wireshark程序 在菜单栏找到【抓包】选项点击【抓包】，展开详细选项，点选第一个【网络接口...】在新的窗口中点击【开始】选项，开始抓包，程序开始抓包，效果如图从抓包中找到arp的条目，双击那个条目 这就是我们所要抓包的内容了，之后进行分析处理。

wireshark抓的是你的网络接口的所有包，里面可以看出TCP/IP的七层协议的具体东西。除应用层加密的以外。你要熟悉TCP/IP的内容才能知道内容代表什么。

如果你安装wireshark的机器网口上看不到这个ip的包，那么，需要使用交换机的镜像口功能或者hub，保证你的网卡能看到这个包。 如果你的网卡能看到这个包，那么在wireshark的截包过滤器界面输入host xxxx什么的就可以确保截获到该ip的包，具体语如何用wireshark抓一个特定ip的包？？？

学过网络的同学都知道，互联网信息的传递都是通过网络数据包来完成的。那么抓取网络数据包对于我们学习网络知识，查找网络问题甚至逆向工程都是至关重要的。 现在本文以Linux 下版本号为1.10.14的wireshark向大家介绍。wireshark是一款开源的，支持多种操作系统，多种网络协议的抓包工具。它简单容易上手，并且说明文档齐全（官网有详尽的guide book）。下面跟其他常见的抓包工具进行对比：注意：只要将手机网络连接到安装了wireshark的主机上（比如开热点wifi），就可以抓到手机上的数据包，而不一定要在手机上安装抓包工具主要介绍两个页面，一个是起始页，一个是包列表页。起始页展示了接口列表（网卡，蓝牙，USB等数据端口），捕获选项以及一些帮助信息。点击开始捕获包后就会进入包列表页，包列表页展示捕获到的包，选中包对应的协议信息及其原始十六进制数据起始页展示了可供抓包的接口列表，选中想要捕获的接口开始抓包。捕获选项里可以设置捕获过滤规则以及捕获停止条件。进行捕获后，会出现三个栏目：数据包列表栏目，包协议信息栏目，包字节信息栏目。我们可以通过数据包列表找到想要的某个数据包，鼠标选中后，在包协议信息栏目分析该包的协议信息，如果想要知道某个字节的含义则在包字节信息栏目分析。注意在数据包列表栏目上方有个Filter 输入框，这里我们可以输入显示过滤表达式，过滤掉数据包列表中一些不需要展示的数据包。3.1.1 从文件导入数据包已经被抓取并导出到文件，此时我们只需用wireshark导入此捕获文件即可获取之前捕获的数据包。文件的格式有很多种，可以导入tcpdump导出的捕获文件。有趣的是，也可以导入png,jpg等格式的图片以及mp4等格式的视频文件，导入后可以看到图片和视频也是一个个数据包组成的，图片渐近式展示以及视频不需完全加载就可播放等特性估计跟这有关。3.1.1 实时抓取选择特定接口，点击start按钮后，即开始实时抓取。一般地，接口的数据包数量庞大并且各个包之间的关联性不强。我们想要得到特定的数据包就必须过滤无关的数据包，从而快速的进行分析。wireshark过滤方式有两种，第一种是捕获过滤，这种过滤是捕获阶段进行，它只捕获未被过滤的数据包，这样可以减少抓取数据包的数量。第二种是显示过滤，这种过滤在分析阶段进行，它在捕获的数据包基础上进行过滤。3.2.1 捕获过滤过滤语法一般格式： [not] primitive [and|or [not] primitive ...]primitive 一般由type，dir，proto这三类限定符组成3.2.2 显示过滤过滤语法一般格式：（过滤字段 比较操作符 value） 组合表达式 （过滤字段 比较操作符 value）...3.3.1 追踪数据流将数据包进行关联，可通过某个数据包即可关联到该数据包传输链的所有数据包，比如可以通过一个tcp数据包可关联到这个tcp会话的所有数据包。操作：鼠标点击数据包列表栏的某个数据包->右键->Follow TCP Stream(Follow UDP Stream，Follow SSL Stream)3.3.2 端点端点在不同的协议层有不同的含义，在网络层，特定IPv4，IPv6地址为一个端点，在数据运输层，特定TCP端口，UDP端口为一个端点。端点这个页面为我们展示每个端点的数据包发送和接收情况。操作：Statistics->Endpoints3.3.3 对话对话页面展示两个端点之间的包传输情况。端点在不同协议层有不同含义，对话也一样。在网络层，对话是两个IP之间进行，在数据传输层，对话在两个端口之间进行。操作：Statistics->Conversations3.3.4 流量图流量图使用图形化展示了数据包的抓取情况。操作：Statistics->IO Graphs3.3.5 协议分层协议分层页面将抓取到数据包按网络协议进行了分类，我们可以看到每个网络层抓取包的情况。操作：Statistics->Protocol Hierarchy Statistics3.3.6 专家信息wireshark 帮我们分析了数据包情况，通过专家信息页面提示网络中出现的问题，它将数据包分为4个等级（Error，Warnings，Notes，Chats），从左至右问题严重程度依次减少，Chats是正常的数据包。Error表示可能导致问题的数据包。操作：Analyze->Expert Infos一般地，如果不设置静态MAC-->IP对应表，机器都会发送arp请求来获得其他机器的mac地址。如此，我们只需要在显示过滤器输入 arp即可获得apr数据包。捕获信息见下图： wireshark官方文档