wireshark过滤规则表达式

1.协议过滤
在表达式栏中直接填写协议名:比如TCP 只显示TCP协议报文
tcp udp arp http 等
2. IP 过滤:
在显示过滤器表达式栏中填写:例如
ip.src == 192.168.1.102 显示源地址为192.168.1.102的报文
ip.dst == 192.168.1.104 显示目的地址为192.168.1.104 的报文
3. 端口过滤:
tcp.port ==80 显示tcp 协议的源或者目的端口为80的报文;
tcp.srcport ==80 显示tcp 端口号为80的报文
tcp.dstport ==80 显示tcp 端口号为80的报文
4.http 模式的过滤
http.request.method =="GET" //过滤get包
http.request.method == "POST"// 过滤post包

5. 包长度过滤:
udp.length == 26 //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
备注: udp 的整包的长度 = ip 头部长度(20)+以太网头部长度(14)+udp 数据包的长度
tcp.len >= 29,代表查询出来tcp协议的数据包,且包长度大于等于29的数据包
备注:此处tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度。
6. MAC地址的过滤
eth.addr eq e0:db:55:8e:8d:dd //查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包
eth.src eq e0:db:55:8e:8d:dd //表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包
eth.dst eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包


逻辑语言:
lt < 小于
gt > 大于
le <= 小于等于
ge >= 大于等于
ne != 不等

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值