过滤规则(Capture Filter)
一、过滤规则共有两种形式
一种是原语(Primitive)
一种是用 ”and”, “or”, “not” 关系运算符,以及括号”()”将原语组合起来而构成的表达式
二、IP过滤
1.捕获所有源或目的IP地址是 ”210.30.97.53”的报文
ip.addr==172.22.16.16
2.捕获所有目的IP地址是 ”2172.22.16.16”的报文
ip.dst==172.22.16.16
3.其他
!(ip.addr==172.22.16.16)
ip.src==172.22.16.16,表示源地址为172.22.16.16
ip.dst==172.22.16.16,表示目标地址为172.22.16.16
ip.src eq 172.22.16.16 显示来源IP
ip.dst eq 172.22.16.16 显示目标IP
三、端口过滤
1.捕获所有源或目的端口号是53的TCP协议的包
tcp.port==53 只捕获DNS数据
tcp.port==80 捕获网络web浏览的所有报文
2.捕获所有目的端口号是1812的UDP协议的包
udp.dstport==1812
3.过滤端口范围
tcp.port >= 1 and tcp.port <= 80
3.其他
tcp.dstport==80
u