wireshark過濾規則

一、ip過濾：包括**ip或者目標ip等於某個ip

比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 顯示**ip

ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 顯示目標ip

二、埠過濾：

比如：tcp.port eq 80 // 不管埠是**的還是目標的都顯示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只顯tcp協議的目標埠80

tcp.srcport == 80 // 只顯tcp協議的**埠80

過濾埠範圍

tcp.port >= 1 and tcp.port <= 80

三、協議過濾：tcp

等等排除ssl包，如!ssl 或者 not ssl

四、包長度過濾：

比如：udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊資料報之和

tcp.len >= 7 指的是ip資料報(tcp下面那塊資料),不包括tcp本身

ip.len == 94 除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後

frame.len == 119 整個資料報長度,從eth開始到最後

五、http模式過濾：

例子:http.request.method == 「get」

// get包

// post包

// 響應包

一定包含如下

content-type:

六、連線符 and / or

七、表示式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

八、expert.message是用來對info資訊過濾，主要配合contain來使用

wireshark info欄裡的」tcp segment of a reassembled pdu」的意思

Wireshark過濾規則

一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...

wireshark過濾規則

b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...

wireshark過濾規則

b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...