传输层
网络层
应用层数据
Dns包
目的ip: ip.dst == IP或ip.dst eq IP
指定主机ip,源或目的: ip.host -= IP或ip.host eq IP,或者用ip.addr(有这个ip就从抓取)
指定的源ip或指定的目的ip: ip.src == IP or ip.dst m= IP
MAC地址过滤
eth. Addr; eth. Src; eth.dst
端口过滤非常常用,要指明协议是tcp还是udp,可以用srcport,dstpot,port,端口可以用比较符合>,>=,<=,==,eq
4.3协议过滤
tcp,udp,arp,icmp,http,smtp,ftp,dns,msnms,ip,ssl,oicq,bootp等。排除的化,前面加个’T’或者’not .
过滤ack的包,可以看到,下面的所有包都是带ack1的包
Tcp.flags.ack1
过滤HTTP的GET请求和POST请求,以及HTTP过滤内容
http.request.method -= GET
过滤HTTP协议的响应包,响应码是200的
http contains “HTTP/1.1 200 OK”
用contains字段过滤内容,如过滤HTTP协议Content-Type类型,Content-Type: text/plain; tcp包含admin
http contains “content-Type: text/ plain”
tcp contains “admin""
过滤包的指定的字段:协议[起始位置:长度]
举个例子:tcp协议,从第2个字符开始(起始是0,不是1,这个2是偏移的位置),长度为3,内容为01,bb,eb
tcp[2:3] mm e1:bb:eb
例如: tcp中包含user字段的,tcp matches “.GET”,是包含GET的包,GET是正则表达式,如果用tcp contains ".GET " ,contains把. GET当初字符串
流查看