WireShark_过滤语法.pdfVIP

/* WireShark 过滤语法 */ 1. 过滤 IP，如来源 IP 或者目标 IP 等于某个 IP 例子: ip.src eq 07 or ip.dst eq 07 或者 ip.addr eq 07 // 都能显示来源 IP 和目标 IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 80 // 只显 tcp 协议的目标端口 80 tcp.srcport == 80 // 只显 tcp 协议的来源端口 80 udp.port eq 15000 过滤端口范围 tcp.port = 1 and tcp.port = 80 3. 过滤协议 例子: tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等 排除 arp 包，如!arp 或者 not arp 4. 过滤 MAC 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标 mac eth.src eq A0:00:00:04:C5:84 // 过滤来源 mac eth.dst==A0:00:00:04:C5:84 eth.dst==A0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源 MAC 和目标 MAC 都等于 A0:00:00:04:C5:84 的 less than 小于 lt 小于等于 le 等于 eq 大于 gt 大于等于 ge 不等 ne 5. 包长度过滤 例子: udp.length == 26 这个长度是指 udp 本身固定长度 8 加上 udp 下面那块数据包之和 tcp.len = 7 指的是 ip 数据包(tcp 下面那块数据),不包括 tcp 本身 ip.len == 94 除了以太网头固定长度 14,其它都算是 ip.len, 即从 ip 本身到最后 frame.len == 119 整个数据包长度,从 eth 开始到最后 eth ip or arp tcp or udp data 6. http 模式过滤 例子: http.request.method == GET http.request.method == POST http.request.uri == /img/logo-edu.gif http contains GET http contains HTTP/1. // GET 包 http.request.method == GET http contains Host: http.request.method == GET http contains User-Agent: // POST 包 http.request.method == POST http contains Host: http.request.method == POST http contains User-Agent: // 响应包 http contains HTTP/1.1 200 OK http contains Content-Type: http contains HTTP/1.0 200 OK http contains Content-Type: 一定包含如下 Content-Type: 7. TCP 参数过滤 tcp.flags 显示包含 TCP 标志的封包。 tcp.flags.syn == 0x02 显示包含 TCP SYN 标志的封包。 tcp.window_size == 0 tcp.flags.reset != 1 8. 过滤内容 tcp[20]表示从 20 开始，取 1 个字符 tcp[20:]表示从 20 开始，取 1 个字符以上 tcp[20:8