WireShark过滤语法VIP免费

/* WireShark 过滤语法 */ 1. 过滤IP，如来源IP 或者目标IP 等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP 和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or u dp.port eq 80 tcp.dstport == 80 // 只显tcp 协议的目标端口80 tcp.srcport == 80 // 只显tcp 协议的来源端口80 u dp.port eq 15000 过滤端口范围 tcp.port >= 1 and tcp.port <= 80 3. 过滤协议 例子: tcp u dp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等 排除 arp 包，如!arp 或者 not arp 4. 过滤MAC 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC 和目标MAC 都等于A0:00:00:04:C5:84 的 less than 小于 < lt 小于等于 le 等于 eq 大于 gt 大于等于 ge 不等 ne 5. 包长度过滤 例子: u dp.length == 26 这个长度是指u dp 本身固定长度8 加上 u dp 下面那块数据包之和 tcp.len >= 7 指的是ip 数据包(tcp 下面那块数据),不包括 tcp 本身 ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从 ip 本身到最后 frame.len == 119 整个数据包长度,从 eth 开始到最后 eth ---> ip or arp ---> tcp or u dp ---> data 6. http 模式过滤 例子: http.requ est.method == "GET" http.requ est.method == "POST" http.requ est.u ri == "/img/logo-edu .gif" http contains "GET" http contains "HTTP/1." // GET 包 http.requ est.method == "GET" && http contains "Host: " http.requ est.method == "GET" && http contains "User-Agent: " // POST 包 http.requ est.method == "POST" && http contains "Host: " http.requ est.method == "POST" && http contains "User-Agent: " // 响应包 http contains "HTTP/1.1 200 OK" && http contains "Content-Ty pe: " ...