Wireshark

时间:2024-03-11 18:13:10

过滤表达式

常用关键字

eq、==、and、or、!、not

针对IP地址的过滤

  • 源IP:ip.src == 192.168.0.1
  • 目的IP:ip.dst == 192.168.0.1
  • 源IP和目的IP:ip.addr == 192.168.0.1
  • 排除包:!(ip.addr == 192.168.0.1)

针对协议的过滤

  • 捕获某种协议的数据包:arp
  • 排除某种协议的数据包:not arp 或 !arp

针对端口的过滤

  • 捕获某一端口的数据包:
    • tcp.dstport == 80
    • tcp.srcport == 80
    • tcp.port == 80
    • udp.port == 1500
  • 捕获多端口的数据包:udp.port >= 2048

针对MAC地址的过滤

  • eth.dst == A0:00:00:04:C5:84
  • eth.src == A0:00:00:04:C5:84
  • eth.addr == A0:00:00:04:C5:84

针对包长度的过滤

  • udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
  • tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
  • ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
  • frame.len == 119 整个数据包长度,从eth开始到最后
  • eth —> ip or arp —> tcp or udp —> data

针对包内容的过滤

  • udp[offset,n]:n表示截取的个数
  • udp[8:3] == 20:21:22 //偏移8个Bytes,再取3个数