抓包软件总体分为两类
设置代理抓取http包，比如Charles、mitmproxy 等
直接抓取经过网卡的所有协议包，wireshark 以及 linux自带的tcpdump
tcpdump 是 命令行工具，抓取到的包不易于分析，
通常将tcpdump抓到的包输出到某个文件，然后用wireshark分析


https://www.wireshark.org/

capture filter  和  Display filter

capture filter 将不符合过滤条件的包进行舍弃
Display filter 在已抓到的包中，将对应的包进行过滤 
注意两种 filter 写法是不一样的 


capture filter 


先选择网络接口 
wifi:en0
loopback:lo0
再设置过滤表达式 
port 8080
host codefun007.xyz


时间格式设置
view / time display format


tcp src port 8080
ip src host 127.0.0.1
port 8080
host codefun007.xyz
src portrange 8080-8090
not imcp   (ping 使用 icmp)

src host 10.7.2.12 and not dst net 10.200.0.0/16

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8


捕获HTTP流量
port 80 or port 443

捕获DNS流量
port 53

捕获特定主机的流量
host codefun007.xyz



Display filter

ip.addr == 10.1.1.1
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.src == 10.230.0.0/16 显示来自10.230网段的封包
tcp.port == 25 显示来源或目的TCP端口号为25的封包
tcp.dstport == 25 显示目的TCP端口号为25的封包
http.request.method== "POST" 显示post请求方式的http封包
http.host == "tracker.1ting.com" 显示请求的域名为tracker.1ting.com的http封包
tcp.flags.syn == 0×02 显示包含TCP SYN标志的封包


tcp contains "http" 显示payload中包含"http"字符串的tcp封包
http.request.uri contains "online" 显示请求的uri包含"online"的http封包

upper(http.request.uri) contains "ONLINE"


ip.addr==171.10.191.10
tcp.port == 80 || tcp.port == 443





抓取 访问 个人博客的 http 请求和响应

capture filter 
host codefun007.xyz

Display filter
http


 tcpdump使用简介