过滤解释
ip.src 表示捕获源ipv4地址的数据
ip.dst 表示捕获目标ipv4地址的数据
ip.host 表示到达/来自解析某网站后ipv4地址的数据
ip.addr表示到达/来自ipv4地址的数据
tcp.port==80 TCP端口
tcp.dstport==80 TCP目的端口
tcp.srcport==80 TCP源端口
udp.port eq 15000 UDP端口
tcp.port >= 1 and tcp.port <=80 tcp1-80之间的端口
eth.src == MAC地址 源MAC地址
eth.dst == MAC地址 目的MAC地址
eth.dst==MAC地址 查看该MAC地址
udp.length==200 查看udp大小等于200的数据包
tcp.len >=200 查看tcp包的大小大于等于200的数据包
http.request.method == "GET" 请求方法为get
http.request.method == "POST" 过滤请求方法为POST
http contains "FLAG" 显示含有特定内容的数据包
3.1 显示单个ip地址
ip.src 比较运算符 ip地址
例如:ipaddr==192.168.1.101 捕获该主机的所有数据
3.2 显示一个地址范围的数据
ip.addr 比较运算符 ip地址 && ip.addr 比较运算符 ip地址
例子:显示这个范围内除去192.168.1.103的数据
(ip.addr > 192.168.1.101 && ip.addr < 192.168.1.108) && !ip.addr == 192.168.1.103
3.3 显示一个子网ip的数据
ip.addr == 192.168.0.0/24
过滤到达/来自192.168.0.0/24网络的所有数据
3.4 查看tcp的三次握手
3.5 拓展学习
eq == 等于
ne != 不等于
gt > 大于
lt < 小于
ge >= 大于等于
le <= 小于等于
and && 逻辑与
or || 逻辑或
xor ^^ 逻辑异或
not ! 逻辑非