常用命令:
过滤指定协议
tcp
udp
http
icmp
arp
icmp
ssh
ssl
ftp
smtp
dns
过滤ip
ip.src==x
ip.dst eq x
ip.addr eq x
!(ip.addr eq x) 吧某个地址的src/dst都给返回
过滤端口
tcp.port==80
udp.port==80
udp.port>=80
tcp.port<=80
http相关过滤(ctf常用)
过滤指定字符
http contains "baidu" //不加双引号也可以
针对长度的过滤
udp.length<30
http.content_length<=20
针对数据包内容的过滤
http.request.uri matches "zinc" 匹配http请求中zinc
过滤域名
http.host==www.baidu.com
模糊过滤域名
http.host contains baidu
过滤请求的content_type类型
http.content_type=='text/html'
过滤http请求方法
http.request.method==GET
过滤http响应码
http.response.code==200
过滤含有指定cookie的http数据包
http.cookie contains userid
连接词
and 并且
or 或者
!取反
not 取反
