wireshark过滤器使用

• 过滤IP：

功能描述	表达式
IP目的地址	ip.dst== 192.168.1.1
IP地址（包括源和目的）	ip.addr== 192.168.1.1
IP源地址	ip.src ==192.168.1.1

• 过滤端口：

功能描述	表达式
TCP端口	tcp.port==80
TCP目的端口	tcp.dstport == 80
TCP源端口	tcp.srcport == 80
UDP端口	udp.port eq 15000
TCP 1-80之间的端口	tcp.port >= 1 and tcp.port <= 80

• 过滤协议：

http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

• 过滤MAC地址：

功能描述	表达式
源MAC地址	eth.src==A0:00:00:04:C5:84
目的MAC地址	eth.dst==A0:00:00:04:C5:84
MAC地址（包括源和目的）	eth.addr==A0:00:00:04:C5:84

• 过滤包长度：

功能描述	表达式
整个UDP数据包	udp.length==20
TCP数据包中的IP数据包	tcp.len>=20
整个IP数据包	ip.len==20
整个数据包	frame.len==20

• HTTP模式过滤：

功能描述	表达式
请求方法为GET	http.request.method==“GET”
请求方法为POST	http.request.method==“POST”
指定URI	http.request.uri==“/img/logo-edu.gif”
请求或相应中包含特定内容	http contains “FLAG”

GET包

	表达式
1	http.request.method == “GET” && http contains “User-Agent: “
2	http.request.method == “GET” && http contains “Host: “

POST包

	表达式
1	http.request.method == “POST” && http contains “Host: “
2	http.request.method == “POST” && http contains “User-Agent: “

响应包

	表达式
1	http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
2	http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

• 太以网头过滤：

功能描述	表达式
过滤目标mac	eth.dst == A0:00:00:04:C5:84
过滤来源mac	eth.src eq A0:00:00:04:C5:84
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的	eth.addr eq A0:00:00:04:C5:84

• wireshark基本的语法字符：

表达式	描述
\d	0-9的数字
\D	\d的补集（以所以字符为全集，下同），即所有非数字的字符
\w	单词字符，指大小写字母、0-9的数字、下划线
\W	\w的补集
\s	空白字符，包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f
\S	\s的补集
.	除换行符\n外的任意字符。 在Perl中，“.”可以匹配新行符的模式被称作“单行模式”
.*	匹配任意文本，不包括回车(\n)? 。 而，[0x00-0xff]* 匹配任意文本,包括\n
[…]	匹配[]内所列出的所有字符
[^…]	匹配非[]内所列出的字符

• 定位字符: 所代表的是一个虚的字符，它代表一个位置，你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。

表达式	描述
{n}	匹配前面的字符n次
{n,}	匹配前面的字符n次或多于n次
{n,m}	匹配前面的字符n到m次
?	匹配前面的字符0或1次
+	匹配前面的字符1次或多于1次
*	匹配前面的字符0次或式于0次