windows抓包工具Wireshark（过滤）

1、IP过滤

ip.src == 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip
ip.dst == 192.168.0.208(ip.dst eq 192.168.0.208) //目标等于某个ip

2、端口过滤
tcp.port eq 80 //不管端口是来源的还是目标的都显示
tcp.port == 80
udp.port eq 80
tcp.dstport == 80 //只显tcp协议的目标端口80
tcp.srcport == 80 //只显tcp协议的来源端口80
tcp.port >= 1 and tcp.port <= 80 //范围端口

3、协议过滤
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl 等
排除ssl包，如!ssh或者not ssl

4、包长度过滤
udp.length == 26 //这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 //指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 //除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 //整个数据包长度,从eth开始到最后

5、表达式
ip.src == 192.168.22.106 and udp.port == 5217
ip.src == 192.168.22.106 && udp.port == 5217