1、只顯示交換於某一對ip 主機之間的所有ip 資料報。 例如,該過濾器只顯示200.1.1.1與192.168.1.1之間的資料報:
ip.addr == 200.1.1.1 and ip.addr ==200.1.1.1
2、顯示 12個資料報之前的特定icmp包
icmp.ident == 35312 and frame.number <= 12
3、位元組偏移型過濾器
ip[20:6] == 00:00:cc:cc:75:2b
其中, 20表示從ip協議首部開始偏移20個位元組,6表示要檢測的位元組數。如果ip首部是20個位元組,那麼該過濾器表示匹配ip包的payload的前6個位元組為00:00:cc:cc:75:2b的資料報。
4、排除埠號,例如排除tcp埠號22:
!(tcp.port == 22)
wireshark 顯示過濾器
對於我們個人使用者,顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用於單機環境流量不大的情況。對於攻擊者而言,往往不知道需要什麼樣的資料報,只能在抓包審計之後再確定,因而也通常選用顯示過濾器。當停止捕獲資料之後,在資料報列表上面的過濾框中輸入過濾表示式,就可以只顯示我們需要的資料報。比如輸入表...
wireshark捕獲過濾器和顯示過濾器
wireshark的捕獲過濾器是在裝置驅動級別提供抓包的過濾介面 表示式 目的埠 dst post 80 源埠 src port 80 協議 udp 設定網段 net 192.168.0.0 mask 255.255.255.0等價於net 192.168.0.0 24 埠範圍 portrange ...
WireShark過濾器選項
首先說幾個最常用的關鍵字,eq 和 等同,可以使用 and 表示並且,or 表示或者。和 not 都表示取反。一 針對wireshark最常用的自然是針對ip位址的過濾。其中有幾種情況 1 對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。表示式為 ip.src 192.168....