1.协议过滤
在表达式栏中直接填写协议名:比如TCP 只显示TCP协议报文
tcp udp arp http 等
2. IP 过滤:
在显示过滤器表达式栏中填写:例如
ip.src == 192.168.1.102 显示源地址为192.168.1.102的报文
ip.dst == 192.168.1.104 显示目的地址为192.168.1.104 的报文
3. 端口过滤:
tcp.port ==80 显示tcp 协议的源或者目的端口为80的报文;
tcp.srcport ==80 显示tcp 端口号为80的报文
tcp.dstport ==80 显示tcp 端口号为80的报文
4.http 模式的过滤
http.request.method =="GET" //过滤get包
http.request.method == "POST"// 过滤post包
5. 包长度过滤:
udp.length == 26 //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
备注: udp 的整包的长度 = ip 头部长度(20)+以太网头部长度(14)+udp 数据包的长度
tcp.len >= 29,代表查询出来tcp协议的数据包,且包长度大于等于29的数据包
备注:此处tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度。
6. MAC地址的过滤
eth.addr eq e0:db:55:8e:8d:dd //查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包
eth.src eq e0:db:55:8e:8d:dd //表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包
eth.dst eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包
逻辑语言:
lt < 小于
gt > 大于
le <= 小于等于
ge >= 大于等于
ne != 不等