1.協議過濾
在表示式欄中直接填寫協議名:比如tcp 只顯示tcp協議報文
tcp udp arp http 等
2. ip 過濾:
在顯示過濾器表示式欄中填寫:例如
ip.src == 192.168.1.102 顯示源位址為192.168.1.102的報文
ip.dst == 192.168.1.104 顯示目的位址為192.168.1.104 的報文
3. 埠過濾:
tcp.port ==80 顯示tcp 協議的源或者目的埠為80的報文;
tcp.srcport ==80 顯示tcp 埠號為80的報文
tcp.dstport ==80 顯示tcp 埠號為80的報文
4.http 模式的過濾
http.request.method =="get" //過濾get包
http.request.method == "post"// 過濾post包
5. 包長度過濾:
udp.length == 26 //這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
備註: udp 的整包的長度 = ip 頭部長度(20)+乙太網頭部長度(14)+udp 資料報的長度
tcp.len >= 29,代表查詢出來tcp協議的資料報,且包長度大於等於29的資料報
備註:此處tcp資料報長度+tcp頭部(20)+ip頭部(20)+乙太網頭部(14)=整體資料報長度。
6. mac位址的過濾
eth.addr eq e0:db:55:8e:8d:dd //查詢出來乙太網頭資料內源mac以及目的mac為e0:db:55:8e:8d:dd的資料報
eth.src eq e0:db:55:8e:8d:dd //表示查詢出來乙太網頭資料內源mac為e0:db:55:8e:8d:dd的資料報
eth.dst eq e0:db:55:8e:8d:dd,表示查詢出來乙太網頭資料內目的mac為e0:db:55:8e:8d:dd的資料報
邏輯語言:
lt < 小於
gt > 大於
le <= 小於等於
ge >= 大於等於
ne != 不等
Wireshark過濾規則
一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...