wireshark常用的过滤命令

继续抓包过滤学习：

1.按照IP地址过滤

查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1

2.按照端口过滤

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包

udp.port eq 514  udp.srcport eq +端口号   udp.dstport eq +端口号

tcp.port >1 and tcp.port <80 。表示为：得到tcp协议的端口范围为大于1小于80的数据包

 

3.按照协议过滤

支持的协议包括:tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp等

除了某个协议以外的其他协议的数据包。则表达式为! +协议名称或者not +协议名称

 

4.包长度过滤

比如：udp.length == 26

此处udp数据包长度+ip头部长度（20）+以太网头部（14）=整体数据包的长度。

 

tcp.len >= 7  

此处tcp数据包长度+tcp头部（20）+ip头部(20)+以太网头部（14）=整体数据包长度

 

ip.len == 94 

此处ip数据包长度+以太网头(14)=整体数据包长度

frame.len == 119 整个数据包长度,从eth开始到最后

5.http模式过滤

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”// GET包

http.request.method == “GET” && http contains “Host: ”

http.request.method == “GET” && http contains “User-Agent: ”// POST包

http.request.method == “POST” && http contains “Host: ”

http.request.method == “POST” && http contains “User-Agent: ”// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”一定包含如下Content-Type

 

6.按照mac地址过滤

eth.addr eq e0:db:55:8e:8d:dd

eth.src eq e0:db:55:8e:8d:dd

eth.dst eq e0:db:55:8e:8d:dd

7.比较表达式

在表达式处写法支持:等于--写法为 eq 或者==；

小于--写法为 lt ；

大于--写法为 gt ;

小于或等于--写法为 le；

大于或者等于--写法为 ge；

不等 ---写法为 ne；