wireshark过滤规则

转载 http://openmaniak.com/cn/wireshark_use.php 捕捉过滤器 ：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器 ：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 两种过滤器使用的语法是完全不同的。 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的 TCPdump 。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 语法： Protocol Direction Host(s) Value Logical Operations Other expression 例子： tcp dst port 80 and tcp dst port 90 Protocol（协议） 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向） : 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。 例如，"host 10.2.2.2"与

正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。 使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。 这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 捕捉过滤器： 用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器： 在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍： 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的 TCPdump 。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是： - 选择 capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存

WireShark 过滤语法 1. 过滤IP，如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 80 // 只显tcp协议的目标端口80 tcp.srcport == 80 // 只显tcp协议的来源端口80 udp.port eq 15000 过滤端口范围 tcp.port >= 1 and tcp.port <= 80 3. 过滤协议 例子: tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等 排除arp包，如!arp 或者 not arp 4. 过滤MAC 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5