如何利用wireshark只抓特定字段的报文

Posted 2023-05-01

方法/步骤

1
首先安装wireshark工具，如果没有该工具请百度下。
2
打开wireshark，我们看到默认抓包时是杂包，各种报文都有。

3
打开抓包选项。

4
输入主机地址和端口号，例如，我们想抓跟10.46.80.140主机通讯的HTTP相关报文，可以输入：host 10.46.80.140 and tcp port 80。然后点击开始。语法可以参考wireshark的帮助文档。

5
抓到的包，我们可以看到全是我们想要的报文，这样不需要后期过滤，给网络分析带来方便。

http://jingyan.baidu.com/article/cbf0e500fe794d2eab289347.html 参考技术A 一般是打开截包后，在filter框后面有个Expression...，点击后打开对话框，就可以选择各个协议的字段和相应的表达符号了。可以帮助你构建表达式的。

当然，你直接输入的话也可以的。 比如radius.User_Name==E13201029

================================================
再补充一下，在gui窗口，点中你红色标出来的字段的时候，wireshark左下角会显示字段名的。你也可以直接右键选择红色的部分，然后有菜单项作为 as filter 什么的。就直接过滤了。

使用scapy分析pcap报文

需求：

1、读取wireshark捕获的pcap报文

2、过滤出特定报文

3、分析特定报文的间隔时间是否符合规律

关键函数或变量：

rdpcap()

filter()：使用lambda函数

p.time

可用ls()查看报文支持的字段，由于链路层和IP层用的字段重复，可以用p[IP].src代表IP源地址，类型为字符串。

p.load表示原始数据区，类型为字符串。