wireshark过滤器表达式的规则有哪些?
编辑:自学文库
时间:2024年03月09日
2. 按协议类型过滤:tcp 这个规则表示只显示TCP协议的报文。
3. 逻辑运算符AND和OR:ip.addr == 192.168.0.1 and tcp.port == 80 这个规则表示只显示源IP地址为192.168.0.1并且目标端口为80的报文。
4. 按端口号过滤:tcp.port == 80 这个规则表示只显示目标端口号为80的TCP报文。
5. 按传输方向过滤:ip.src == 192.168.0.1 or ip.dst == 192.168.0.1 这个规则表示只显示源IP地址或目标IP地址为192.168.0.1的报文。
6. 按包长度过滤:frame.len > 100 这个规则表示只显示长度大于100字节的报文。
7. 按协议字段过滤:http.request.method == GET 这个规则表示只显示HTTP请求方法为GET的报文。
8. 按主机名过滤:http.host == "www.example.com" 这个规则表示只显示主机名为www.example.com的HTTP报文。
9. 按协议版本过滤:ssl.version == TLSv1.2 这个规则表示只显示SSL版本为TLSv1.2的报文。
10. 按错误类型过滤:icmp.type == 3 这个规则表示只显示ICMP报文类型为3的报文。
以上是一些常用的Wireshark过滤器表达式规则,可以根据特定需求组合使用,以更精确地过滤和分析网络报文。