wireshark过滤器分为两种:显示过滤器,捕获过滤器
捕获过滤器用于确定什么样的信息记录会显示在捕获结果中,需要在开始捕获前设置。界面如下
捕获过滤器语法
<Protocol> <Direction> <Host(s)> <Value> <Logical Operations> <Other expression>
Protocol(协议):大致有ether、fddi、 ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等,如果不指明协议,默认支持全部协议
Direction(方向):有src、dst、src and dst、src or dst,如果不指明方向,默认使用src or dst
Host(s)(主机):有net、port、host、portrange,默认使用host
Logical Operations(逻辑运算):有 not and or,not具有最高优先级,and or优先级相同,运算从左向右
捕获过滤器用法
1、捕获TCP协议目标端口为443的包:tcp dst port 443
2、捕获IP协议来源IP地址为180.101.49.12的包:ip src host 180.101.49.12
3、捕获TCP协议来源端口号为2000-5000的包:tcp src portrange 2000-5000
4、捕获TCP协议端口8000-9000之间和80端口的包:tcp portrange 8000-9000 an port 80
5、捕获非TCP协议的包:not tcp
在捕获过滤器的基础上只显示符合规则的封包信息,需要回车来使能规则
显示过滤器语法
1、比较运算符:==、!=、<、>、>=、=
2、逻辑运算符:and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
3、<协议>.<字段> <比较运算符> <值>
4、<协议>
显示过滤器用法
1、显示TCP协议的包:tcp
2、显示TCP协议源端口为443的包:tcp.srcport==443
3、显示UDP协议目标端口大于1000的包:udp.dstport>1000
4、显示TCP协议中长度大于100的包:tcp.len>=100