Wireshark 过滤规则

一、显示过滤

1.1 IP过滤

1)不区分来源

ip.addr == 10.70.43.219	//抓取来自10.70.43.219的包
ip.addr != 10.70.43.219 //抓取不是来自10.70.43.219的包

2) 源IP

ip.src == 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip 
ip.src != 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip 

3) 目标IP

ip.dst == 192.168.0.208(ip.dst eq 192.168.0.208) //目标等于某个ip
ip.dst != 192.168.0.208(ip.dst eq 192.168.0.208) //目标不等于某个ip

1.2 、端口过滤

1) 不区分来源

tcp.port eq 80 //不管端口是来源的还是目标的都显示 
tcp.port == 80 
udp.port eq 80 

2)源)

tcp.srcport == 80 //只显tcp协议的来源端口80 

3) 目标

tcp.dstport == 80 //只显tcp协议的目标端口80 

4 范围

tcp.port >= 1 and tcp.port <= 80 //显示大于等于1,小于等于80端口的数据

1.3 、协议过滤

1) 显示指定协议

tcp 
udp 
arp 
icmp 
http 
smtp 
ftp 
dns 
msnms 
ip 
ssl

2) 排除指定的协议

!ssh 	// 排除ssl包
not ssl //  排除ssl包

1.4、包长度过滤

udp.length == 26 	//这个长度是指udp本身固定长度8加上udp下面那块数据包之和 
tcp.len >= 7 		//指的是ip数据包(tcp下面那块数据),不包括tcp本身 
ip.len == 94 		//除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后 
frame.len == 119 	//整个数据包长度,从eth开始到最后

1.5、MAC地址/物理地址过滤

eth.addr== 80:f6:2e:ce:3f:00   //过滤目标或源地址是80:f6:2e:ce:3f:00的数据包
eth.src== 80:f6:2e:ce:3f:00   //过滤源地址是80:f6:2e:ce:3f:00的数据包
eth.dst== 80:f6:2e:ce:3f:00   //过滤目标地址是80:f6:2e:ce:3f:00的数据包
二、捕获过滤

捕获过滤表示只抓取指定规则的包,而显示过滤则是在抓取的包中在过滤。
在这里插入图片描述

1.1 IP过滤

1)不区分来源

host 10.70.43.219	//抓取来自10.70.43.219的包
host not 10.70.43.219 //抓取不是来自10.70.43.219的包

2) 源IP

src host 192.168.0.208  //来源等于某个ip 
src host not 192.168.0.208 //来源等于某个ip 

3) 目标IP

dst host  == 192.168.0.208 //目标等于某个ip
dst host not 192.168.0.208 //目标不等于某个ip

1.2 、端口过滤

1) 不区分来源

port 80 //不管端口是来源的还是目标的都显示 
tcp port 80 
udp port 80 

2)源)

tcp src port 80 // 只显tcp协议的来源端口80 
src port 80 // 只显来源端口80 

3) 目标

dst port 80 //只显目标端口80 

1.3 、协议过滤

1) 显示指定协议

tcp 
udp 
arp 
icmp  
ip 

1.5、MAC地址/物理地址过滤

ether host 80:05:09:03:E4:35   //过滤目标或源地址是80:05:09:03:E4:35的数据包
ether src host 80:f6:2e:ce:3f:00   //过滤源地址是80:f6:2e:ce:3f:00的数据包
ether dst host 80:f6:2e:ce:3f:00   //过滤目标地址是80:f6:2e:ce:3f:00的数据包
三、过滤操作符关键字
字符描述
eq,==等于
ne,!=不等于
gt,>大于
lt,<小于
ge,>=大于等于
le,<=小于等于
and,&&
or,|
not,!取反
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书香水墨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值