WireShark过滤语法与常用

​ 1、过滤协议，直接写协议名称

例子:
tcp            #TCP(Transmission Control Protocol 传输控制协议)
udp            #UDP(User Datagram Protocol 用户数据报协议)
arp            #ARP(Address Resolution Protocol 地址解析协议)
icmp           #ICMP(Internet Control Message Protocol Internet Internet 控制报文协议)
http           #HTTP(HyperText Transfer Protocol 超文本传输协议)
smtp           #SMTP(Simple Mail Transfer Protocol 简单邮件传输协议)
ftp            #FTP(File Transfer Protocol 文件传输协议)
dns            #DNS(Domain Name System 域名系统)
ip             #IP(Internet Protocol IP协议)
ssl            #SSL(Secure Sockets Layer 安全套阶层)
oicq           #(openingIseekyou QQ协议)
bootp          #BOOTP(Bootstrap Protocol，引导程序协议）)
......
排除arp包:   !arp   或者   not arp

​ 2、 过滤源和目的IP地址

过滤源地址
ip.src_host eq 192.168.31.106          #相当于
ip.src_host == 192.168.31.106
过滤目的地址
ip.dst_host eq 192.168.31.106          #相当于
ip.dst_host == 192.168.31.106
过滤源地址或者目的地址
ip.addr eq 192.168.31.106                #相当于
ip.addr == 192.168.31.106

​ 3、针对端口进行过滤

例子:
tcp.port eq 80                    #不管端口是来源的还是目标的都显示，相当于
tcp.port == 80
tcp.port eq 80 or udp.port eq 80
tcp.srcport == 80                 #只显tcp协议的源端口80
tcp.dstport == 80                 #只显tcp协议的目标端口80
udp.port eq 15000
tcp.port >= 1 and tcp.port <= 80  #过滤端口范围

​ 4、过滤MAC地址

eth.addr eq B4-6D-83-2B-27-D5
eth.src eq B4-6D-83-2B-27-D5 // 过滤来源mac
eth.dst == B4-6D-83-2B-27-D5 // 过滤目标mac

​ 5、针对http的请求类型进行过滤

http.request.method == "GET"
http.request.method == "POST"

​ 6、备注

     <!--hexoPostRenderEscape:<figure class="highlight plain"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br></pre></td><td class="code"><pre><span class="line">&lt;          lt          less than 小于 </span><br><span class="line">&lt;&#x3D;         le          小于等于</span><br><span class="line">&#x3D;&#x3D;         eq          等于</span><br><span class="line">&gt;            gt          大于</span><br><span class="line">&gt; &#x3D;        ge          大于等于 </span><br><span class="line">&gt; !&#x3D;       ne          不等于</span><br></pre></td></tr></table></figure>:hexoPostRenderEscape-->

如果帮助到了您，欢迎请我喝杯冰阔落~

• 本文作者：澈崽子
• 本文链接：https://zeozzz.github.com/2019/05/08/35/
• 版权声明：本博客所有文章除特别声明外，均默认采用 许可协议。