Wireshark 過濾規則

一、顯示過濾

1.1 ip過濾

1）不區分**

ip.addr == 10.70 .43.219 //抓取來自10.70.43.219的包 ip.addr != 10.70 .43.219 //抓取不是來自10.70.43.219的包

2）源ip

ip.src == 192.168.0.208(ip.src eq 192.168.0.208) //**等於某個ip 
ip.src != 192.168.0.208(ip.src eq 192.168.0.208) //**等於某個ip

3）目標ip

ip.dst == 192.168.0.208(ip.dst eq 192.168.0.208) //目標等於某個ip
ip.dst != 192.168.0.208(ip.dst eq 192.168.0.208) //目標不等於某個ip

1.2 、埠過濾

1）不區分**

tcp.port eq 80 //不管埠是**的還是目標的都顯示 tcp.port == 80 udp.port eq 80

2）源）

tcp.srcport == 80 //只顯tcp協議的**埠80

3）目標

tcp.dstport == 80 //只顯tcp協議的目標埠80

4 範圍

tcp.port >= 1 and tcp.port <= 80 //顯示大於等於1，小於等於80埠的資料

1.3 、協議過濾

1）顯示指定協議

2）排除指定的協議

!ssh // 排除ssl包 not ssl // 排除ssl包

1.4、包長度過濾

udp.length == 26 	//這個長度是指udp本身固定長度8加上udp下面那塊資料報之和 
tcp.len >= 7 //指的是ip資料報(tcp下面那塊資料),不包括tcp本身 
ip.len == 94 //除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後 
frame.len == 119 //整個資料報長度,從eth開始到最後

eth.addr== 80:f6:2e:ce:3f:00 //過濾目標或源位址是80:f6:2e:ce:3f:00的資料報 eth.src== 80:f6:2e:ce:3f:00 //過濾源位址是80:f6:2e:ce:3f:00的資料報 eth.dst== 80:f6:2e:ce:3f:00 //過濾目標位址是80:f6:2e:ce:3f:00的資料報

二、捕獲過濾

捕獲過濾表示只抓取指定規則的包，而顯示過濾則是在抓取的包中在過濾。

1.1 ip過濾

1）不區分**

host 10.70 .43.219 //抓取來自10.70.43.219的包 host not 10.70 .43.219 //抓取不是來自10.70.43.219的包

2）源ip

src host 192.168.0.208 //**等於某個ip src host not 192.168.0.208 //**等於某個ip

3）目標ip

dst host == 192.168.0.208 //目標等於某個ip dst host not 192.168.0.208 //目標不等於某個ip

1.2 、埠過濾

1）不區分**

port 80 //不管埠是**的還是目標的都顯示 tcp port 80 udp port 80

2）源）

tcp src port 80 // 只顯tcp協議的**埠80 src port 80 // 只顯**埠80

3）目標

dst port 80 //只顯目標埠80

1.3 、協議過濾

1）顯示指定協議

tcp udp arp icmp

ip

ether host 80:05:09:03:e4:35 //過濾目標或源位址是80:05:09:03:e4:35的資料報 ether src host 80:f6:2e:ce:3f:00 //過濾源位址是80:f6:2e:ce:3f:00的資料報 ether dst host 80:f6:2e:ce:3f:00 //過濾目標位址是80:f6:2e:ce:3f:00的資料報

三、過濾操作符關鍵字字元描述

eq,==

等於ne,!=

不等於gt,>

大於lt,<

小於ge,>=

大於等於

le,<=

小於等於

and,&&

且or,|

或not,!

取反

Wireshark 過濾規則

Wireshark過濾規則

wireshark過濾規則

wireshark過濾規則

Wireshark 過濾規則

Wireshark過濾規則

wireshark過濾規則

wireshark過濾規則

相關推薦