过滤表达式

常用关键字

eq、==、and、or、！、not

针对IP地址的过滤

• 源IP：ip.src == 192.168.0.1
• 目的IP：ip.dst == 192.168.0.1
• 源IP和目的IP：ip.addr == 192.168.0.1
• 排除包：!(ip.addr == 192.168.0.1)

针对协议的过滤

• 捕获某种协议的数据包：arp
• 排除某种协议的数据包：not arp 或 !arp

针对端口的过滤

• 捕获某一端口的数据包：
  • tcp.dstport == 80
  • tcp.srcport == 80
  • tcp.port == 80
  • udp.port == 1500
• 捕获多端口的数据包：udp.port >= 2048

针对MAC地址的过滤

• eth.dst == A0:00:00:04:C5:84
• eth.src == A0:00:00:04:C5:84
• eth.addr == A0:00:00:04:C5:84

针对包长度的过滤

• udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
• tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
• ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
• frame.len == 119 整个数据包长度,从eth开始到最后
• eth —> ip or arp —> tcp or udp —> data

针对包内容的过滤

• udp[offset,n]：n表示截取的个数
• udp[8:3] == 20:21:22 //偏移8个Bytes，再取3个数