一、ip過濾:包括**ip或者目標ip等於某個ip
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示**ip
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標ip
二、埠過濾:
比如:tcp.port eq 80 // 不管埠是**的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的**埠80
過濾埠範圍
tcp.port >= 1 and tcp.port <= 80
三、協議過濾:tcp
等等排除ssl包,如!ssl 或者 not ssl
四、包長度過濾:
比如:udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後
五、http模式過濾:
例子:http.request.method == 「get」
// get包
// post包
// 響應包
一定包含如下
content-type:
六、連線符 and / or
七、表示式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...
Wireshark過濾規則
比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標ip 二 埠過濾 比如 tcp.port ...