如果您在使用wireshark,小編建議您看看wireshark過濾表達式大全,因為很多用戶都不知道wireshark過濾ip/協議/端口的表達式,本站為您準備了wireshark過濾表達式大全,這樣我們就能輕鬆過濾這些內容啦!
針對wireshark最常用的自然是針對IP地址的過濾。其中有幾種情況:
(1)對源地址為192.168.0.1的包的過濾,即抓取源地址滿足要求的包。
表達式為:ip.src == 192.168.0.1
(2)對目的地址為192.168.0.1的包的過濾,即抓取目的地址滿足要求的包。
表達式為:ip.dst == 192.168.0.1
(3)對源或者目的地址為192.168.0.1的包的過濾,即抓取滿足源或者目的地址的ip地址是192.168.0.1的包。
表達式為:ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
(4)要排除以上的數據包,我們隻需要將其用括號囊括,然後使用 "!" 即可。
表達式為:!(表達式)
針對端口的過濾(視協議而定)
(1)捕獲某一端口的數據包
表達式為:tcp.port == 80
(2)捕獲多端口的數據包,可以使用and來連接,下麵是捕獲高端口的表達式
表達式為:udp.port >= 2048
針對長度和內容的過濾
(1)針對長度的過慮(這裏的長度指定的是數據段的長度)
表達式為:udp.length < 30 http.content_length <=20
(2)針對數據包內容的過濾
表達式為:http.request.uri matches "vipscu"(匹配http請求中含有vipscu字段的請求信息)
針對協議的過濾
(1)僅僅需要捕獲某種協議的數據包,表達式很簡單僅僅需要把協議的名字輸入即可。
表達式為:http
(2)需要捕獲多種協議的數據包,也隻需對協議進行邏輯組合即可。
表達式為:http or telnet (多種協議加上邏輯符號的組合即可)
(3)排除某種協議的數據包
表達式為:not arp!tcp
