符号知识
" wireshark支持符号输入和字母输入两种形式 "
- 与:&& 或者 and
- 或:|| 或者 or
- 非:! 或者 not
- 等于:== 或者 eq
- 不等于:!= 或者 ne
- 大于:> 或者 gt
- 大于等于:>= 或者 ge
- 小于:< 或者 lt
- 小于等于:<= 或者 le
干货奉上!!!
# 应用层
http # 提取所有http协议包
http.response # 提取所有http的响应包
http.request.method == "POST" # 提取方法为"POST"的http协议包
http.host == 192.168.1.1 # 提取主机地址为192.168.1.1的http协议包
http.host == www.baidu.com #提取主机地址域名为www.baidu.com的包
http contains "https://www.wireshark.org" # 提取地址https://www.wireshark.org的http协议包
# 传输层
udp # 提取udp协议包
tcp # 提取tcp协议包
tcp.port==80 # 提取来源、目的端口号为80的tcp协议包
tcp.srcport == 80 # 提取来源端口号为80的tcp协议包
tcp.dstport == 80 # 提取目的端口号为80的tcp协议包
tcp.flags.syn == 1 # 提取tcp连接中syn值为1的包
# 网络层
ip # 提取ip协议包
ip.addr == 192.168.1.21 # 提取来源和目的ip地址为192.168.1.1的包
ip.src == 192.168.1.1 # 提取来源ip地址为192.168.1.1的包
ip.src == www.mit.edu # 提取来源地址域名为www.baidu.com的包
ip.dst == www.mit.edu # 提取目的地址域名为www.baidu.com的包
ipv6.addr == 2000:db8::1 #提取ipv6地址为2000:db8::1的包
# MAC层
eth.addr == fa:1a:37:75:c2:39 # 提取MAC地址为fa:1a:37:75:c2:39的包
参考链接:6.4. Building Display Filter Expressions (wireshark.org)