windows抓包工具Wireshark(過濾)
阿新 • • 發佈:2019-02-18
1、IP過濾
ip.src ==192.168.0.208(ip.src eq 192.168.0.208) //來源等於某個ip
ip.dst ==192.168.0.208(ip.dst eq 192.168.0.208) //目標等於某個ip
2、埠過濾
tcp.port eq 80 //不管埠是來源的還是目標的都顯示
tcp.port == 80
udp.port eq 80
tcp.dstport == 80 //只顯tcp協議的目標埠80
tcp.srcport == 80 //只顯tcp協議的來源埠80
tcp.port >= 1 and tcp.port <= 80 //範圍埠
3、協議過濾
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl 等
排除ssl包,如!ssh或者not ssl
4、包長度過濾
udp.length == 26 //這個長度是指udp本身固定長度8加上udp下面那塊資料包之和
tcp.len >= 7 //指的是ip資料包(tcp下面那塊資料),不包括tcp本身
ip.len == 94 //除了乙太網頭固定長度14,其它都算是ip.len,即從ip本身到最後
frame.len == 119 //整個資料包長度,從eth開始到最後
5、表示式
ip.src == 192.168.22.106 and udp.port == 5217
ip.src == 192.168.22.106 && udp.port == 5217