一、ip過濾:包括**ip或者目標ip等於某個ip
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示**ip
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標ip
二、埠過濾:
比如:tcp.port eq 80 // 不管埠是**的還是目標的都顯示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只顯tcp協議的目標埠80
tcp.srcport == 80 // 只顯tcp協議的**埠80
過濾埠範圍
tcp.port >= 1 and tcp.port <= 80
三、協議過濾:tcp
等等排除ssl包,如!ssl 或者 not ssl
四、包長度過濾:
比如:udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和
tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身
ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 整個資料報長度,從eth開始到最後
五、http模式過濾:
例子:http.request.method == 「get」
// get包
// post包
// 響應包
一定包含如下
content-type:
六、連線符 and / or
七、表示式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
wireshark 抓包分析 過濾規則大全
一 過濾http報文 http.host 6san.com 過濾經過指定網域名稱的http資料報,這裡的host值不一定是請求中的網域名稱 過濾http響應狀態碼為302的資料報 過濾所有的http響應包 過濾所有的http請求,貌似也可以使用http.request wireshark過濾所有請求...
wireshark抓包過濾
抓指定主機icmp包 icmp and ip.host 192.168.168.65 抓指定主機tcp資料報 tcp and ip.host 172.16.10.222 tcp.flags 顯示包含tcp標誌的封包。tcp.flags.syn 0 02 顯示包含tcp syn標誌的封包。1 對源位址...
wireshark常用包過濾規則
1.過濾ip,如 ip或者目標ip等於某個ip 例子 ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者ip.addr eq 192.168.1.107 都能顯示 ip和目標ip 2.過濾埠 例子 tcp.port eq 80 不管埠是 的還是...