将自己在使用Wireshark软件过程中的一些命令贴出来,给大家参考一下。后续会逐渐完善......
1、筛选tcp特征位字段命令
tcp.flags.fin == 1 //得到所有tcp特征位FIN为1的报文
tcp.flags.fin == 1 and tcp.flags.ack == 1 //得到所有tcp特征位FIN和ACK都为1的报文
2、筛选指定长度的报文
frame.len ne 122 //得到长度不等于122的报文
frame.len eq 122 //得到长度等于122的报文
frame.len lt 122 //得到长度小于122的报文
frame.len gt 122 //得到长度大于 122的报文
3、筛选指定协议报文
ip and tcp //得到ipv4的tcp报文
ipv6 and tcp //得到ipv6的tcp报文
tcp //得到所有tcp报文
icmp //得到所有icmp报文
4、筛选指定IP地址的报文
ip.addr == 192.168.1.11 //得到ip地址为192.168.1.11的所有报文
ip.src == 192.168.1.11 //得到源ip地址为192.168.1.11的所有报文
ip.dst == 192.168.1.11 //得到目的ip地址为192.168.1.11的所有报文
5、筛选指定端口的报文
tcp.srcport == 80 //得到源port为80的所有tcp报文
tcp.dstport == 80
tcp.port == 80
udp.srcport == 80 //得到源port为80的所有udp报文
udp.dstport == 80
udp.port == 80
6、提取前100个报文
frame.number le 100 //提取前100个报文