wireshark过滤器表达式的规则有哪些?

编辑:自学文库 时间:2024年03月09日
Wireshark过滤器表达式的规则有以下几种:1. 按IP地址过滤:ip.addr == 192.168.0.1 这个规则表示只显示与IP地址为192.168.0.1相关的报文。
  2. 按协议类型过滤:tcp 这个规则表示只显示TCP协议的报文。
  3. 逻辑运算符AND和OR:ip.addr == 192.168.0.1 and tcp.port == 80 这个规则表示只显示源IP地址为192.168.0.1并且目标端口为80的报文。
  4. 按端口号过滤:tcp.port == 80 这个规则表示只显示目标端口号为80的TCP报文。
  5. 按传输方向过滤:ip.src == 192.168.0.1 or ip.dst == 192.168.0.1 这个规则表示只显示源IP地址或目标IP地址为192.168.0.1的报文。
  6. 按包长度过滤:frame.len > 100 这个规则表示只显示长度大于100字节的报文。
  7. 按协议字段过滤:http.request.method == GET 这个规则表示只显示HTTP请求方法为GET的报文。
  8. 按主机名过滤:http.host == "www.example.com" 这个规则表示只显示主机名为www.example.com的HTTP报文。
  9. 按协议版本过滤:ssl.version == TLSv1.2 这个规则表示只显示SSL版本为TLSv1.2的报文。
  10. 按错误类型过滤:icmp.type == 3 这个规则表示只显示ICMP报文类型为3的报文。
  以上是一些常用的Wireshark过滤器表达式规则,可以根据特定需求组合使用,以更精确地过滤和分析网络报文。