wireshark捕获特定ip和端口(wireshark过滤ip和端口)

如果你安装wireshark的机器网口上看不到这个ip的包，那么，需要使用交换机的镜像口功能或者hub，保证你的网卡能看到这个包。 如果你的网卡能看到这个包，那么在wireshark的截包过滤器界面输入host xxxx什么的就可以确保截获到该ip的包，具体语法请参考tcpdump的过滤表达是。 当然，如果你比较偷懒，可以全部截获，然后在wireshark的显示过滤器栏输入，也可以过滤出来的。

如果你安装wireshark的机器网口上看不到这个ip的包，那么，需要使用交换机的镜像口功能或者hub，保证你的网卡能看到这个包。 如果你的网卡能看到这个包，那么在wireshark的截包过滤器界面输入host xxxx什么的就可以确保截获到该ip的包，具体语如何用wireshark抓一个特定ip的包？？？

如果你使用wireshark，ip.addr == 192.168.216.100 && ip.addr == 192.168.216.168；你可以可以试试基于进程抓包工具QPA，QPA按进程抓包，可以省去编写过滤规则。

可以用PC直连交换机那个口 等方法1、PC直连交换机那个口2、将该口镜像到交换机别的口，再PC连接3、使用集线器4、Wireshark（前称Ethereal）是一个网络封包分析软件。5、网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。6、Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作，只是将场景移植到网络上，并将电线替换成网络线。8、在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。9、Ethereal的出现改变了这一切，在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。10、Ethereal是全世界最广泛的网络封包分析软件之一。11、网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题12、开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。

Wireshark是一个抓取网络数据包的工具，这对分析网络问题是很重要的，下文将会简单的介绍下如何使用Wireshark来抓包。1、在如下链接下载“Wireshark”并在电脑上安装。2、如果之前没有安装过“Winpcap”请在下面把安装“Winpcap”的勾选上。3、打开安装好的Wireshark程序，会看到如下图所示界面：主界面，打开“Capture”－＞“Options”在最上面的Interface中选择电脑真实的网卡（默认下可能会选中回环网卡），选中网卡后，下面会显示网卡的IP地址，如图中是172.31.30.41，如果IP正确，说明网卡已经正确选择。Capture Filter这一栏是抓包过滤，一般情况下可以不理会，留为空。Display options就按照我们勾选的来做就行。好，点击Start。选择好保存路径和文件名（请不要中文）后，点击保存。
Wireshark 一般在抓包的时候无需过滤，直接在数据分析时候过滤出来你想要的数据就成了。 1.具体为Capture->Interface->(选择你的网卡)start 这时候数据界面就显示了当前网卡的所有数据和协议了。 2.下来就是找到我们想要的数据 教你一些技巧，比如我们要找ip地址为192.168.2.110的交互数据 可以在 Filter:里面填写ip.addr == 192.168.2.110 （回车或者点Apply就OK） 如果我们只想抓TCP的ip.addr == 192.168.2.110 && tcp (注意要小写) 如果不想看到ACKip.addr == 192.168.2.110 && tcp && tcp.len != 0 如果要看数据包中含有5252的值的数据（注意此处为16进制） ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252) 3. 含有很多过滤方法可以点击Express，里面有一些选项，自己多试试。 用好一个工具很重要，但要长期的积累才行，自己多使用，多看点教程就OK。