Wirshark 显示过滤器

二层显示过滤：

　　eth.addr==<MAC Address>:只显示具有指定mac地址

　　eth.src==<MAC Address>:只显示具有指定源MAC地址的数据帧

　　eth.dst==<MAC Address>:只显示具有指定的MAC地址的数据帧

　　eth.type==<protocol type （十六进制，格式0xNNNN）>：值显示指定以太网类型的流量

ARP显示过滤：

　　arp.opcode==<value>：只显示指定类型的ARP帧（ARP帧按其所含操作码字段值，可分为ARP应打帧、回应帧、RARP应打帧、响应帧)

　　arp.src.hw_mac==<MAC Address>：只显示由指定MAC地址的主机发出的ARP帧

IP显示过滤：

　　ip.addr==<IP Address>：只显示发往或源自设有指定IP地址的主机数据包

　　ip.src==<IP Address>:只显示由设有指定ip的主机发出的数据包

　　ip.dst==<IP Address>:只显示发往设有指定ip地址主机的数据包

　　ip.ttl==<value>、ip.ttl<value>或ip.ttl><value>：只显示ip包头中TTl字段值为指定值的数据包

　　ip.len==<value>、ip.len><value>或ip.len<<value>：只显示指定长度的ip数据包（包头中有一个2字节总长度的字段）

　　ip.version==<4/6>：只显示具有指定ip版本号的ip数据包

TCP/UDP显示过滤：

　　tcp.port==<value>或udp.port==<value>:只显示根据指定的TCP或UDP目的端口号来筛选

　　tcp.dstport==<value>或udp.dstport==<value>:只显示根据指定的TCP/UDP目的端口号来筛选的数据包

　　tcp.srcport==<value>或udp.srcport==<value>：只显示根据指定的TCP/UDP源于端口号筛选的数据包

　　UDP：头部结构非常简单，只包含源/目端口号字段，数据包长度字段，以及效验和字段，因此，对于UDP数据包而言，最重要的特点就是源、目端口号。

　　TCP：头部截然不同，因为TCP是一种面向连接的协议，内置有可靠的传输机制，所以TCP头部要比UDP头部复杂的很多，不过Wirshark完全能够理解TCP所具备的面向连接以及可靠性保证等机制，wireshark提供了tcp.flags、tcp.analysis等诸多功能强大的涉及TCP的显示过滤参数，只要运用得当，发现并解决TCP性能问题（比如，TCP重传、重复确认、零窗口等问题）或运作问题（TCP半开连接，会话重置等问题）自然不再话下。

　　tcp.analysis:可用参数来作为分析与TCP重传、重复确认、窗口大小有关的网络性能问题的参照物。在这一过滤参数名下，还包含多个子参数（可在Filter输入栏内，借助自动补齐特性，来获取参数名下完整的子参数列表）

　　tcp.analysis.retansmission:用来显示重传的TCP数据包

　　tcp.analysi.duplicate_ack:用来显示确认多次的TCP数据包

　　tcp.analysis.zero_window：用来显示含零窗口通告信息的TCP的数据包（TCP会话一端的主机通过此类TCP数据包，向对端主机报告，本机TCP窗口为0，请贵机停止通过该会话发送数据）

posted @ 2018-12-18 13:39 WhiteSpace 阅读(638) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

WhiteSpace

Wirshark 显示过滤器

二层显示过滤：

eth.addr==<MAC Address>:只显示具有指定mac地址

eth.src==<MAC Address>:只显示具有指定源MAC地址的数据帧

eth.dst==<MAC Address>:只显示具有指定的MAC地址的数据帧

eth.type==<protocol type （十六进制，格式0xNNNN）>：值显示指定以太网类型的流量

ARP显示过滤：

arp.opcode==<value>：只显示指定类型的ARP帧（ARP帧按其所含操作码字段值，可分为ARP应打帧、回应帧、RARP应打帧、响应帧)

arp.src.hw_mac==<MAC Address>：只显示由指定MAC地址的主机发出的ARP帧

IP显示过滤：

ip.addr==<IP Address>：只显示发往或源自设有指定IP地址的主机数据包

ip.src==<IP Address>:只显示由设有指定ip的主机发出的数据包

ip.dst==<IP Address>:只显示发往设有指定ip地址主机的数据包

ip.ttl==<value>、ip.ttl<value>或ip.ttl><value>：只显示ip包头中TTl字段值为指定值的数据包

ip.len==<value>、ip.len><value>或ip.len<<value>：只显示指定长度的ip数据包（包头中有一个2字节总长度的字段）

ip.version==<4/6>：只显示具有指定ip版本号的ip数据包

TCP/UDP显示过滤：

tcp.port==<value>或udp.port==<value>:只显示根据指定的TCP或UDP目的端口号来筛选

tcp.dstport==<value>或udp.dstport==<value>:只显示根据指定的TCP/UDP目的端口号来筛选的数据包

tcp.srcport==<value>或udp.srcport==<value>：只显示根据指定的TCP/UDP源于端口号筛选的数据包

UDP：头部结构非常简单，只包含源/目端口号字段，数据包长度字段，以及效验和字段，因此，对于UDP数据包而言，最重要的特点就是源、目端口号。

tcp.analysis:可用参数来作为分析与TCP重传、重复确认、窗口大小有关的网络性能问题的参照物。在这一过滤参数名下，还包含多个子参数（可在Filter输入栏内，借助自动补齐特性，来获取参数名下完整的子参数列表）

tcp.analysis.retansmission:用来显示重传的TCP数据包

tcp.analysi.duplicate_ack:用来显示确认多次的TCP数据包

tcp.analysis.zero_window：用来显示含零窗口通告信息的TCP的数据包（TCP会话一端的主机通过此类TCP数据包，向对端主机报告，本机TCP窗口为0，请贵机停止通过该会话发送数据）

公告

　　eth.addr==<MAC Address>:只显示具有指定mac地址

　　eth.src==<MAC Address>:只显示具有指定源MAC地址的数据帧

　　eth.dst==<MAC Address>:只显示具有指定的MAC地址的数据帧

　　eth.type==<protocol type （十六进制，格式0xNNNN）>：值显示指定以太网类型的流量

　　arp.opcode==<value>：只显示指定类型的ARP帧（ARP帧按其所含操作码字段值，可分为ARP应打帧、回应帧、RARP应打帧、响应帧)

　　arp.src.hw_mac==<MAC Address>：只显示由指定MAC地址的主机发出的ARP帧

　　ip.addr==<IP Address>：只显示发往或源自设有指定IP地址的主机数据包

　　ip.src==<IP Address>:只显示由设有指定ip的主机发出的数据包

　　ip.dst==<IP Address>:只显示发往设有指定ip地址主机的数据包

　　ip.ttl==<value>、ip.ttl<value>或ip.ttl><value>：只显示ip包头中TTl字段值为指定值的数据包

　　ip.len==<value>、ip.len><value>或ip.len<<value>：只显示指定长度的ip数据包（包头中有一个2字节总长度的字段）

　　ip.version==<4/6>：只显示具有指定ip版本号的ip数据包

　　tcp.port==<value>或udp.port==<value>:只显示根据指定的TCP或UDP目的端口号来筛选

　　tcp.dstport==<value>或udp.dstport==<value>:只显示根据指定的TCP/UDP目的端口号来筛选的数据包

　　tcp.srcport==<value>或udp.srcport==<value>：只显示根据指定的TCP/UDP源于端口号筛选的数据包

　　UDP：头部结构非常简单，只包含源/目端口号字段，数据包长度字段，以及效验和字段，因此，对于UDP数据包而言，最重要的特点就是源、目端口号。

　　tcp.analysis:可用参数来作为分析与TCP重传、重复确认、窗口大小有关的网络性能问题的参照物。在这一过滤参数名下，还包含多个子参数（可在Filter输入栏内，借助自动补齐特性，来获取参数名下完整的子参数列表）

　　tcp.analysis.retansmission:用来显示重传的TCP数据包

　　tcp.analysi.duplicate_ack:用来显示确认多次的TCP数据包

　　tcp.analysis.zero_window：用来显示含零窗口通告信息的TCP的数据包（TCP会话一端的主机通过此类TCP数据包，向对端主机报告，本机TCP窗口为0，请贵机停止通过该会话发送数据）