常用规则,过滤规则

Wireshark常用过滤规则:

声称:本文为原创小说,未经许可,禁止转发!

一.过滤IP,如来佛自IP只怕指标IP等于有个别IP

 例子:
 ip.src eq 192.168.50.152 or ip.dst eq 192.168.50.152
 或者
 ip.addr eq 192.168.50.152       // 都能显示来源IP和目标IP

升迁:
在Filter编辑框中,收入过虑规则时,假若语法有误,框会显草绿,如准确,会是浅莲灰。

二.过滤端口

 例子:
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
tcp.port >= 1 and tcp.port <= 80 //过滤端口范围

三.过滤协议

 例子:
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
......
排除arp包,如!arp   或者   not arp

常用规则,过滤规则。4.过滤MAC

 太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源和目标MAC都等于的
less than 小于 < lt 
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne          
less than 小于 < lt 
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne

上述小说参谋:http://blog.csdn.net/hzhsan/article/details/43453251
特别感激此小编,谨以此作记录,以备之后重放!

Wireshark过滤规则:

过滤ip

检索目的ip的包ip.dst==xxx.xxx.xxx.xxx

搜索来源地址

Ip.scr==xxx.xxx.xxx.xxx

端口过滤

把来自地址和目标端口过滤

Tcp.port==80

过滤特定端口

Tcp.dstport==80

只回复滤源端口

Tcp.scrport==80

说道过滤

http.request.method==”xxx”

MAC过滤

过滤指标

Eth.dst ==xxxxxxxxxxx

过滤来源

Eth.dst==xxxxxxxxxxx

包长度过滤

例:

udp.length ==

tcp.len >=

ip.len ==

frame.len ==

过滤运算

== / !== / > / < / >= / <= /

&&  and

Wireshark的语法字符

参考:

TCP二遍握手故障剖判

握手失利一般分两种档案的次序,要么被驳回,要么是丢包了。用两道过滤表明式可以一定出大部分波折的抓手。

过滤IP地址:
ip.addr == 192.168.47.2

表达式1:(tcp.flags.reset == 1) && (tcp.seq == 1)

过滤出Seq号为一,且富含Reset标记的包,在启用Relative Sequence
Numbers
自此,就足以用来过滤握手请求被对方拒绝的数据。再通过Follow
TCP Stream
就足以把停业的全经过显得出来。

过滤目标地方:
ip.dst == 192.168.43.2

表达式2:(tcp.flags.syn == 1) && (tcp.analysis.restransmission)

这道表明式能够过滤出重传的握手请求。一个抓手请求之所以要重传,往往是因为对方没接到,可能对方回复的确认包丢了。同样通过Follow
TCP Stream
就能够把倒闭的全经过展现出来。

过滤源地址:
ip.src == 59.110.42.77

过滤tcp 80端口和udp 80端口数据( || 表示或):
tcp.port == 80 || udp.port == 80

过滤指标端口为80的数据:
itcp.dstport==80