抓包过滤
语法:<Protocol name> <Direction> <Host(s)> <Value> <Logical operations> <Expressions>
参数值
- protocol可选值:ether,fddi,ip,arp,rarp,decnet,lat,tcp。默认全部协议
- direction可选值:src,dst,src and dst,src or dst。默认为
src or dst
- host(s)可选值:net|port|host|portrange。默认为host,如src ip <=> src host ip
- Logical可选值:not,or,and
运算优先级:否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同优先级
运算顺序:从左至右
【例子】
- tcp src port 443 <> 只抓取来源端口是443的tcp数据
- not arp <> 不获取arp数据
- port 80 <> 获取端口是80的数据,不指定代表全部都获取
- src 192.168.1.121 and port 233 <> 获取来源ip是192.168.1.121端口是233的数据
<Logical operations>
5. <Protocol name> <Direction> <Host(s)> <Value>
作为一个组或叫一个表达式
6. <Logical operations>
是链接多个表达式的
7. <Expressions1><Logical operations><Expressions2><Logical operations><Expressions3>....
显示过滤
语法:<protocol>.<string1>.<string2>.<comparison operator><value> <Logical operators> <expressions>
【例子】
- tcp.port == 80 <> 展示端口是80的tcp数据
- !arp <> 不展示ARP协议的数据
- ip.addr == 192.168.1.111 <> 只展示地址是有192.168.1.111的数据,不论来源还是目标地址
- (ip.dst == 42.156.152.144) &&!(ip.dst == 42.156.152.144)