本教程操作环境:windows7系统、dell g3电脑。
wireshark过滤规则:
一、ip过滤:包括来源ip或者目标ip等于某个ip
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源ip
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标ip
二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port f6208e104ef5f1700bb710626a85c0cb= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
五、http模式过滤:
例子:
http.request.method == “get”http.request.method == “post”http.request.uri == “/img/logo-edu.gif”http contains “get”http contains “http/1.”// get包包含某头字段http.request.method == “get” && http contains “host: ”http.request.method == “get” && http contains “user-agent: ”// post包包含某头字段http.request.method == “post” && http contains “host: ”http.request.method == “post” && http contains “user-agent: ”// 响应包包含某头字段http contains “http/1.1 200 ok” && http contains “content-type: ”http contains “http/1.0 200 ok” && http contains “content-type: ”
六、连接符 and / or
七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)
八、expert.message是用来对info信息过滤,主要配合contains来使用
相关免费学习推荐:php编程(视频)
以上就是wireshark过滤规则有哪些的详细内容。