Ethereal的几条过滤规则

经常在工作中需要截取网络中的数据包，Entereal这个工具对于截包，分析数据包十分不错，功能也强大。这里介绍了截获包的几个过滤规则。
 

过滤规则：

一、IP过滤：ip.addr==192.168.1.1 或者!(ip.addr==192.168.1.1)

IP过滤有ip.src==192.168.1.1，表示源地址为192.168.1.1.

 ip.dst==192.168.1.1，表示目标地址为192.168.1.1

二、端口过滤：tcp.port=80

三、协议过滤：arp

四、包长度过滤：udp.length=30

五、时间过滤

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

 

总之，Ethereal的包过滤规则强大而复杂，需要多多练习，实践，而且要对网络协议的基础知识相当熟悉，才能运用得存乎一心。

这里只是暂且初学了几条，可以在一般情况下抓网络的数据包，并且拿来分析。还有更多的知识留待以后学习。

 

下面是学习Ethereal的网站，包括官方站点，Wiki,FAQ等：

http://wiki.ethereal.com/CaptureSetup/WLAN?action=fullsearch&value=linkto%3A%22CaptureSetup%2FWLAN%22&context=180 －－－－WIKI(E文)

http://www.cnpaf.net/class/Ethereal/    －－－Ethereal应用(中文)

http://www.ethereal.com/faq.html#q10.1  -----Ethereal FAQ（E文）

http://www.ethereal.com/    －－－－官方站点