Wireshark(线鲨)一款基于 winpcap/tcpdump 的开源网络协议分析软件对vista和无线网络的兼容都很好。他的前身就是Ethereal。他具备了和 Iris 同样强大的 Decode 能力，甚至线性截包的能力超过 iris。要用好分析器很重要的一点就是设置好 Filter(过滤器)，在这一点上 Wireshark 的过滤表达式更显强大。

--------------------------------------------------------------------------------------------------------------------------------------------------------------------

例子:

我们来看个几个简单的过滤器例子：

“ip.dst==211.244.254.1” (所有目标地址是211.244.254.1的ip包)

“tcp.port==80″ (所有tcp端口是80的包)

你可以把上述表达式用 and 连接起来

“(ip.dst==211.244.254.1) and (tcp.port==80)”

或者再稍加变换

“(ip.dst==211.244.254.1) and !(tcp.port==80)” (所有目的ip是211.244.254.1非 80 端口)

使用表达式设置过滤器比之在界面上选择/填空更加快捷灵活，如果你不熟悉这些表达式，Wireshark 也提供了设置界面，并且最终生成表达式，这样也方便了使用者学习。

Wireshark 还提供了更高级的表达式特性，请看如下表达式

(tcp.port==80) and (ip.dst==211.244.254.1) and (http[5:2]==7075)

对象 http 就是 wireshark 解码以后的 http 数据部分 http[5:2] 就是指从 下标 5 开始的两个字节，请思考一下这样的http 请求

GET /pu*****

怎么样，如果你在浏览器中访问 或者 t 或者 b 都会被记录下来，匹配 *****pu***… 了

这样我们就可以方便的将我们需要检测的某个特别的网络指令过滤出来。

捕获过滤用语法

[x] x 为可选内容
a|b 选 a 或 b
x 为必选
xyz xyz 为关键字，不可改变，必需。

[not] primitive [and|or [not] primitive …]
与、或、非 = and、or、not

A primitive is simply one of the following: [src|dst] host
尖括号里的是一个主机IP或主机名字，用src、dst来设定这是目的地址或源地址。
这个选项能过滤主机IP和名字

ether [src|dst] host
尖括号里的是一个网络地址，用src、dst来设定这是目的地址或源地址。

gateway host
是一个网关，抓取流过 的数据包，但这些数据包的目的地址和源地址都不是 。

[src|dst] net [{mask }|{len }]
表示一个网络地址，可以用 src、dst来表示这个网络是目的地址还是源地址的数据包。如果没有”src/dst”，表示全部数据包。可以选择加上子网掩码或使用无类型域间选路（CIDR）的方式。

[tcp|udp] [src|dst] port
[tcp|udp]是选择抓取的协议类型，指定端口。需要注意的是，[tcp|udp]必需在[src|dst]之前。

less|greater
抓取碎片数据包或指定长度的数据包。less 与 greater 分别对应小包与大包。

ip|ether proto
在数据链路层上，在指定的IP地址或网络地址(ip|ether)上抓取指定协议的数据包。

ether|ip broadcast|multicast
在指定的网络地址或IP地址上抓取广播包或组播包。

如果只想当作工具来使用，使用IRIS.exe来抓取以太网数据包很直观方便，用过IRIS V4.07.1使用很方便。只是这个软件不是开源的。可以找到破解文件。