Wireshark 初接触

显示过滤器语法使用：

---

 eth.addr==f4:a8:38:97:66:22　　过滤目标mac或源mac地址为f4:a8:38:97:66:22数据包

 ip.addr==1.1.1.1　　　　过滤目标iIP或源IP为1.1.1.1数据包

 ip.scr==2.2.2.2　　　　过滤源IP为2.2.2.2数据包

 ip.dst==3.3.3.3　　　　过滤目标IP为3.3.3.3数据包

 tcp.port==80 and http　　　　过滤80端口并且是http协议数据包

 tcp.port >= 1 and tcp.port <= 80　　　　过滤端口范围1~80端口

 

 过滤协议： 

　　tcp

　　udp

　　arp

　　icmp

　　http

　　smtp

　　ftp

　　dns

　　msnms

　　ip

　　ssl

　　oicq

　　bootp

 

 过滤器的语法是正确的----->表达式的背景呈绿色 || 如果呈红色----->说明当前表达式是错误的

 可以使用6种比较运算符

eq        ==
ne        !=
gt        >
lt        <
ge        >=
le        <=

4种逻辑运算符

and        &&
or        ||
xor        ^^
not        !

常用关键字

ip.addr        来源或目标ip
ip.src        来源ip
ip.dst        目标ip
tcp.port==23        显示所有端口号为23的tcp封包
tcp.src==127.0.0.1        显示来源ip为127.0.0.1的tcp封包
tcp.dsport==3306            显示目标端口为3306的tcp封包
tcp.flags            显示包含tcp标志的封包
tcp.flags.syn==0x02            显示包含tcp  syn标志的封包