目录
2.1 在显示过滤器文本框中输入显示过滤器tcp.port==80
2.5 显示帧长度大于等于256字节的数据包,并使用十六进制格式指定该值
2.7 显示HTTP主机地址为muten.org、muten.com或muten.net的包
显示过滤器指的是针对已经捕获的报文,过滤出符合特定规则的分组。通常情况下,用户捕获到的文件很多,即使使用捕获过滤器后,仍然还是有很多无关的包。当用户分析数据包时,很难找到自己需要的部分,此时显示过滤器就非常有用了。显示过滤器相比捕获过滤器更加强大,而且更加常用。因为显示过滤器不仅可以对数据包进行过滤,而且不会省略捕获文件中的其他数据。也就是说,如果用户想回到原先的捕获文件,只需要清空显示过滤表达式即可。
1.使用显示过滤器
窗口中有一个“应用显示过滤器”文本框(如图中的1)。用户将使用的过滤器表达式输入后,单击应用过滤器按钮(如图中的2),即可在该捕获文件中应用这个显示过滤器。
2.实例
2.1 在显示过滤器文本框中输入显示过滤器tcp.port==80
2.2 选出snmp协议的数据
2.3 tcp.flags.syn==1
显示过滤器,表示显示过滤TCP标志位为SYN的数据包
2.4 显示帧长度大于1000字节的数据包
2.5 显示帧长度大于等于256字节的数据包,并使用十六进制格式指定该值
2.6 显示过滤SIP头包含字符串a11的包
2.7 显示HTTP主机地址为muten.org、muten.com或muten.net的包
2.8 找Trap报文snmp.data == 4
3.取消选择的内容
4.获取显示过滤器表达式
5.过滤条件是否正确写出来
5.1 写错了-底色为粉红
5.2 写对了-底色为亮绿
5.3 显示告警-可能得到错误的结果-底色为鹅黄色
5.4 结果集与取其补集
