显示过滤器
格式:[not(!)] expression [and(&&)|or(||)] [not] expression...
表达式中的操作符:==、!=、>、<、>=、<=、is present符合某项参数或满足某个条件、contains包含某个(串)字符、match某串字符匹配某个条件,参数和操作符之间可以有空格或者没空格
注:显示过滤器为红色表示语法错误,黄色表示语法无误,但是可能不起效果,为绿色表示正确
例:
!(ip.addr==192.168.1.1) //源和目的ip地址均不为192.168.1.1的数据包
ip.addr!=192.168.1.1 //源或目的ip至少有一个不为192.168.1.1便会判定条件为真
ip.addr==192.168.1.0/24 //涵盖了该网段的所有ip
1、arp过滤器
arp.opcode==<value> //只显示指定类型的arp帧,值等于1表示arp请求帧,2表示应答帧(arp帧按其字段值分为arp应答帧、arp响应帧、rarp应答帧、rarp响应帧)
arp.src.hw_mac==<mac address> //只显示指定mac地址的主机发出的arp帧
2、二层过滤
eth.src==xxxx.xxxx.xxxx
3、三层过滤
ip.addr==200.1.1.1 and ip.addr==192.168.1.1 //显示两个ip之间的数据包
ip.dst==224.0.0.0/4  //显示发往ip多播目的地址的数据包,多播范围是224.0.0.0~239.255.255.255,224的二进制是11100000,239的二进制是11101111,所以首字节头4位为1110.
ipv6.dst==ff00::/8 //只显示发往ipv6多播目的地址的数据包,ipv6多播地址的首字节总是ff,随后一个字节由4位标记字段和4位范围字段组成。
4、复杂过滤器
ip.src==10.0.0.0/24 and http.host contains "sohu" //只显示指定网段的主机发往域名中包含指定字符串的网站的ip流量
ip.addr==10.0.0.0/24 or http.host matches "\.com$" //只显示指定网段的主机访问域名以.com结尾的网站的ip流量
not arp and eth.dst==ffff.ffff.ffff  //只显示所有广播包,但主机在执行arp请求操作时所触发的广播包除外
not icmp && not arp
5、tcp、udp过滤
tcp.port==<value>、tcp.dstport==<value>
tcp.analysis:可用来作为分析与tcp重传、重复确认、窗口大小有关的网络性能问题的参照物,并且包含多个子参数。
tcp.analysis.retransmission:显示重传的tcp数据包
tcp.analysis.duplicate_ack:显示确认多次的tcp数据包
tcp.analysis.zero_window:显示含零窗口通告信息的tcp数据包(tcp会话一端的主机通过此类tcp数据包,向对端主机报告:本机tcp窗口为0,请停止通过该会话发送数据)。
tcp.flags:检查数据包tcp头部中各标记位的置位情况。
tcp.flags.syn==1:显示SYN标记位置1的tcp数据包
tcp.flags.reset==1:显示RST标记位置1的tcp数据包
tcp.flags.fin==1:显示FIN标记位置1的tcp数据包
tcp.window_size_value < <value>:显示tcp头部中窗口大小字段值低于指定值的数据包。
tcp.stream eq 16 && tcp.analysis.retransmission //显示编号为16的tcp连接中发生重传的所有tcp数据包。
要显示某条tcp连接从建立到终结,会话双方生成的所有数据包,要选择一个隶属于tcp流的tcp数据包,并右击选follow tcp stream菜单项,点击后filter输入栏内会自动出现tcp.stream eq <value>的字样。一条tcp stream就是tcp会话双方从建立连接到终止连接那段时间内交换的所有数据包。
tcp contains "Windows"  //区分大小写,在百度中搜索Windows
ip.src==10.0.0.5 && tcp.flags.syn==1 && tcp.flags.ack==0  //只显示指定主机建立tcp连接时生成的所有数据包(如某台主机执行tcp端口扫描或感染蠕虫病毒时,就会批量生成此类数据包)
ip.src==10.0.0.5 && (http.cookie||http.set_cookie)  //只显示指定主机发送的包含http cookie的所有数据包

http显示过滤器
http.host==<"hostname">  //只显示访问某指定主机名的http协议数据包
http.request.method=="GET"   //只显示包含http GET方法的http协议数据包
http.request.uri=="/v2/rating/mail.google.com"   //只显示http客户端发起的包含指定uri请求的http协议数据包
http.request.uri contains "mail.google.com"   //只显示包含指定字符串的URI请求的http协议数据包
http.cookie   //包含cookie请求的http协议数据包,cookie总是从http客户端发往http服务器
http matches "\.zip" && http.request.method=="GET"  //只显示包含zip文件的http数据包

dns显示过滤
dns.flags.response==0(dns查询)
dns.flags.response==1(dns响应)
dns.count.answers >=4  //显示所有answer count字段值大于或等于4的dns响应数据包