wireshark过滤长度怎么写 wireshark 过滤器命令大全

 

几种条件操作符

      ==   eq    等于    ip.addr == 192.168.0.1   ip.addr eq 192.168.0.1

     !=    ne    不等于  !ip.addr==192.168.0.1 ip.addr!= 192.168.0.1  ip.addr ne 192.168.0.1

     >     gt    大于     frame.len>64   frame.len gt 64

     <     lt    小于    frame.len<1500  frame.len le 1500

     >=    ge    不大于  frame.len >= 64

     <=    le    不小于  frame.len <= 1500

          is present  符合某项参数，满足某个条件，或者出现某个现象  http.response

          contains  包含某个字符串    http.host contains cisco

www.cicso.com

逻辑关系操作符

    &&   and   逻辑与   ip.src==10.0.0.1 and tcp.flags.syn=1

    ||   or   逻辑或  ip.addr==10.0.0.1 or ip.addr==10.0.0.2 

    ！   not  逻辑非  not arp and not icmp 除了arp和icmp之外的包

ip.addr != 192.168.0.1 这样的表达式语法正确但是并不起作用，原因是每个IP数据包必定包含两个IP地址，wireshark执行上边的过滤功能时，只要发现源和目的IP有一不为192.168.0.1，就会判定条件为真，正确的应该是  !(ip.addr eq 192.168.0.1)

 

L2显示过滤器

• eth.addr eq mac-address #显示指定mac地址的数据帧
• eth.src eq    eth.dst eq
• eth.type eq protocol type (十六进制数，格式为0xnnnn）
• arp.opcode eq value  #只显示特定类型的arp帧，arp按其所含代码字段值，可分为arp应答帧，响应帧，rarp应答，响应帧   1=arp请求  2=arp应答  3=rarp请求  4=rarp应答
• arp.src.hw_mac eq mac address  #显示指定mac地址的主机发出的arp帧

常用的ip显示过滤器

• ip.addr eq ______  ip.src eq  ip.dst eq
• ip.ttl eq value 
• ip.len = value 

示例：

ip.dst eq 224.0.0.0/4 

复杂的过滤器

• ip.src eq 10.0.0.0/24 and http.host contains "souhu"
• ip.addr eq 10.0.0.0/24 and http.host matches "\.com$"
• ip.src eq 10.0.0.0/24 and eth.dst eq ff:ff:ff:ff:ff:ff

TCP/UDP过滤

• tcp.port eq 或 udp.port eq
• tcp.src/dst port  udp同理
• tcp.analysis 可用该参数来分析重传，重复确认，窗口大小有关的网络问题的参照物
• tcp.analysis.retransmission
• tcp.analysis.duplicate_ack  
• tcp.analysis.zero_window
• tcp.flags.syn eq 1 
• tcp.flags.reset eq 1
• tcp.flags.fin eq 1
• tcp.window_size_value 
• tcp.dstport eq 80
• ip.src eq 10.0.0.0/24 and tcp.srcport eq 80
• tcp.stream eq 16 && tcp.analysis.retransmission

     追踪流功能可以显示某条tcp连接从建立到终止。

     当分析重传，重复确认及其他影响网络性能的现象原因时，可以用tcp.analysis过滤参数及 follow tcp stream 把上述现象与具体的tcp连接建立起来。

• ip.src eq 10.0.0.5 && udp.port eq 53
• tcp contains "windows" 
• tcp.stream eq 0 &&(tcp.analysis.window_full ||/or tcp.analysis.zero_window)
• ip.src eq 10.0.0.3 && (http.cookie||http.set_cookie)

http过滤

• http.host eq "hostname"  
• http.request.method eq "get"
• http.request.uri eq "xxxx.com"
• http.request.uri contains "mail.google.com"
• http.cookie
• http.set_cookie
• http matches "\.zip" && http.request.method eq "get"

DNS

• dns.flags.response eq 0
• dns.flags.response eq 1
• dns.count.answers >= 4