一、显示过滤
1.1 IP过滤
1)不区分来源
ip.addr == 10.70.43.219 //抓取来自10.70.43.219的包
ip.addr != 10.70.43.219 //抓取不是来自10.70.43.219的包
2) 源IP
ip.src == 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip
ip.src != 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip
3) 目标IP
ip.dst == 192.168.0.208(ip.dst eq 192.168.0.208) //目标等于某个ip
ip.dst != 192.168.0.208(ip.dst eq 192.168.0.208) //目标不等于某个ip
1.2 、端口过滤
1) 不区分来源
tcp.port eq 80 //不管端口是来源的还是目标的都显示
tcp.port == 80
udp.port eq 80
2)源)
tcp.srcport == 80 //只显tcp协议的来源端口80
3) 目标
tcp.dstport == 80 //只显tcp协议的目标端口80
4 范围
tcp.port >= 1 and tcp.port <= 80 //显示大于等于1,小于等于80端口的数据
1.3 、协议过滤
1) 显示指定协议
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
2) 排除指定的协议
!ssh // 排除ssl包
not ssl // 排除ssl包
1.4、包长度过滤
udp.length == 26 //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 //指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 //除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 //整个数据包长度,从eth开始到最后
1.5、MAC地址/物理地址过滤
eth.addr== 80:f6:2e:ce:3f:00 //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包
eth.src== 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包
eth.dst== 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包
二、捕获过滤
捕获过滤表示只抓取指定规则的包,而显示过滤则是在抓取的包中在过滤。
1.1 IP过滤
1)不区分来源
host 10.70.43.219 //抓取来自10.70.43.219的包
host not 10.70.43.219 //抓取不是来自10.70.43.219的包
2) 源IP
src host 192.168.0.208 //来源等于某个ip
src host not 192.168.0.208 //来源等于某个ip
3) 目标IP
dst host == 192.168.0.208 //目标等于某个ip
dst host not 192.168.0.208 //目标不等于某个ip
1.2 、端口过滤
1) 不区分来源
port 80 //不管端口是来源的还是目标的都显示
tcp port 80
udp port 80
2)源)
tcp src port 80 // 只显tcp协议的来源端口80
src port 80 // 只显来源端口80
3) 目标
dst port 80 //只显目标端口80
1.3 、协议过滤
1) 显示指定协议
tcp
udp
arp
icmp
ip
1.5、MAC地址/物理地址过滤
ether host 80:05:09:03:E4:35 //过滤目标或源地址是80:05:09:03:E4:35的数据包
ether src host 80:f6:2e:ce:3f:00 //过滤源地址是80:f6:2e:ce:3f:00的数据包
ether dst host 80:f6:2e:ce:3f:00 //过滤目标地址是80:f6:2e:ce:3f:00的数据包
三、过滤操作符关键字
字符 | 描述 |
---|---|
eq,== | 等于 |
ne,!= | 不等于 |
gt,> | 大于 |
lt,< | 小于 |
ge,>= | 大于等于 |
le,<= | 小于等于 |
and,&& | 且 |
or,| | 或 |
not,! | 取反 |