1、過濾協議,直接寫協議名稱
例子:
tcp #tcp(transmission control protocol 傳輸控制協議)
udp #udp(user datagram protocol 使用者資料報協議)
arp #arp(address resolution protocol 位址解析協議)
icmp #icmp(internet control message protocol internet internet 控制報文協議)
http #http(hypertext transfer protocol 超文字傳輸協議)
smtp #smtp(****** mail transfer protocol 簡單郵件傳輸協議)
ftp #ftp(file transfer protocol 檔案傳輸協議)
dns #dns(domain name system 網域名稱系統)
ip #ip(internet protocol ip協議)
ssl #ssl(secure sockets layer 安全套階層)
oicq #(openingiseekyou qq協議)
bootp #bootp(bootstrap protocol,引導程式協議))
......
排除arp包: !arp 或者 not arp
過濾源位址
ip.src_host eq 192.168.31.106 #相當於
ip.src_host == 192.168.31.106
過濾目的位址
ip.dst_host eq 192.168.31.106 #相當於
ip.dst_host == 192.168.31.106
過濾源位址或者目的位址
ip.addr eq 192.168.31.106 #相當於
語法錯誤如下圖:
3、針對埠進行過濾
例子:
tcp.port eq 80 #不管埠是**的還是目標的都顯示,相當於
tcp.port == 80
tcp.port eq 80 or udp.port eq 80
tcp.srcport == 80 #只顯tcp協議的源埠80
tcp.dstport == 80 #只顯tcp協議的目標埠80
udp.port eq 15000
tcp.port >= 1 and tcp.port <= 80 #過濾埠範圍
4、過濾mac位址eth.addr eq b4-6d-83-2b-27-d5
eth.src eq b4-6d-83-2b-27-d5 // 過濾**mac
eth.dst == b4-6d-83-2b-27-d5 // 過濾目標mac
5、針對http的請求型別進行過濾http.request.method == "get"
********************備註:
< lt less than 小於
<= le 小於等於
== eq 等於
> gt 大於
>= ge 大於等於
!= ne 不等於
以上個人總結常用過濾方法
更多詳情推薦部落格:
Wireshark過濾規則
一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...