wireshark简单过滤语法

连接符:
==(eq) 等于
!=(ne) 不等于
<(lt) 小于
>(gt) 大于
>=(ge) 大于等于
<=(le) 小于等于
&&(and) 与
||(or) 或
!(not) 非

过滤IP地址:
过滤10.251.251.251的数据包
ip.addr==10.251.251.251

过滤源地址为1.1.1.8的数据包
ip.src==10.251.251.251

过滤源地址1.1.1.8或者目的地址1.1.1.10的数据包
ip.src==1.1.1.8 or ip.dst==1.1.1.10

过滤端口:
过滤tcp80端口的数据包
tcp.port eq 80,或者tcp.port == 80

过滤目的端口tcp80的数据包
tcp.dstport == 80

过滤tcp端口1000到2000之间的数据包
tcp.port>=1000 and tcp.port<=2000

过滤MAC地址:
过滤目的MAC11:22:33:44:55:66
eth.addr == 11:22:33:44:55:66

过滤http协议中带host字段的数据包
http.host
http.host==1.1.1.8

过滤http中post字段的数据包
http request method == POST
注意区分大小写。

发表评论

电子邮件地址不会被公开。 必填项已用*标注