符号知识
" wireshark支持符号输入和字母输入两种形式 "
- 与:&& 或者 and
- 或:|| 或者 or
- 非:! 或者 not
- 等于:== 或者 eq
- 不等于:!= 或者 ne
- 大于:> 或者 gt
- 大于等于:>= 或者 ge
- 小于:< 或者 lt
- 小于等于:<= 或者 le
干货奉上!!!
# 应用层
http # 提取所有http协议包
http.response # 提取所有http的响应包
http.request.method == "POST" # 提取方法为"POST"的http协议包
http.host == 192.168.1.1 # 提取主机地址为192.168.1.1的http协议包
http.host == www.baidu.com #提取主机地址域名为www.baidu.com的包
http contains "https://www.wireshark.org" # 提取地址https://www.wireshark.org的http协议包
# 传输层
udp # 提取udp协议包
tcp # 提取tcp协议包
tcp.port==80