6.3 Wireshark：显示过滤器（ip.src == 192.168.1.1 and ip.dst == 223.5.5.5）

6.3 Wireshark：显示过滤器（ip.src == 192.168.1.1 and ip.dst == 223.5.5.5）

应用显示过滤器语法

1、比较运算符：==、！=、<、>、>=、=

逻辑运算符：

and        &&        逻辑与

or        ||        逻辑或

xor        ^^        逻辑异或

not        !        逻辑非

2、逻辑运算符：and、or、not(没有条件满足)、xor(有且仅有一个条件满足)

3、<协议>.<字段> <比较运算符> <值>

4、<协议>

IP地址

ip.addr == 192.168.80.5  

ip.src == 192.168.80.5    #源地址为192.168.80.5的数据包

ip.dst ==239.255.255.250  #目标地址为192.168.80.5的数据包

端口过滤

udp.dstport>1000       #显示UDP协议目标端口大于1000的包

tcp.len>=100           #显示TCP协议中长度大于100的包

tcp.port == 80

tcp.srcport == 80      #显示源端口为80的包

tcp.dstport == 80

tcp.flag.syn

tcp.flag.ack

tcp.port == 80 || udp.port == 80

协议过滤

arp ARP可以把IP解析成MAC，也可以把MAC解析成IP

ip

icmp

udp

tcp

bootp(DHCP)

dns

常用的过滤语句

ip.addr == 192.0.2.1 and not tcp.port in {80 25}

tcp.srcport == 443     #只抓取源IP端口为443的tcp数据

tcp.dstport == 8181    #只抓取目标IP端口为8181的tcp数据

not arp                #不是arp的其他数据

tcp                    #显示TCP协议的包

tcp.srcport==443       #显示TCP协议源端口为443的包

ip.addr == 192.168.1.1

ip.src == 192.168.1.1

ip.dst == 192.168.1.1

ip.src == 192.168.1.1 and ip.dst == 58.520.9.9

tcp.port == 80

tcp.srcport == 80

tcp.dstport == 80

tcp.flag.syn == 1

tcp.flag.ack == 1

arp

tcp

udp

not http

not arp

ip.src == 192.168.1.100 and tcp.dstport == 80

ip.addr == 192.168.1.100 and udp.port == 3000

tcp.dstport == 8443    #只抓取目标IP端口为8443的tcp数据

HTTP报文处理

过滤HTTP的GET请求和POST请求，以及HTTP过滤内容

http.request.method == GET

http.request.method==POST

过滤HTTP协议的响应包，响应码是200的

http contains 'HTTP/1.1 200 OK'

http.request.uri.path

http.host contains "www.zh-cjh.com"

 http 关键词过滤
    只访问某指定域名：http.host==“域名”
    访问包含了指定字符串的 ： http.[host] contains “内容”
    只显示Referer头部内容为 http://www.packtpub.com的请求 ： http.referer == “http://www.packtpub.com”
    HTTP请求方法的显示过滤器
        显示所有HTTP请求包： http.request 或 http.request == 1
        GET请求的所有HTTP包： http.request.method == GET
        POST请求的所有HTTP包： http.request.method==POST
        过滤请求的uri： http.request.uri==”/upload” //取值是域名后的部分
        过滤整个uri：http.request.full_uri==“http://task.browser.360.cn/upload”
        http.request.version == “HTTP/1.1”
    HTTP响应数据包 :
        http.response 或者 http.response == 1
        包含错误码的HTTP响应包：http.response.code >=400
        显示包含HTTP客户端错误状态码的HTTP响应包： http.response.code >=400 and http.response.code <=499
        显示包含HTTP服务端错误状态码的HTTP响应包： http.response.code >=500 and http.response.code <=599
        过滤http响应中的phrase http.response.phrase == “OK”

    内容关键词
    http.server contains “snapshot” //过滤http头中server字段含有指定字符
    http.content_type == “text/html” //过滤content_type是text/html的http响应、post包，即根据文件类型过滤http数据包
    http.content_encoding == “gzip” //过滤content_encoding是gzip的http包
    http.transfer_encoding == “chunked” //根据transfer_encoding过滤

    http.content_length == 279
    http.content_length_header == “279” //根据content_length的数值过滤
    http.server //过滤所有含有http头中含有server字段的数据包

显示过滤器（DisplayFilters
例子：
snmp || dns || icmp //显示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1 //显示来源或目的IP地址为10.1.1.1的封包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 //显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；目的IP：任意
以及
来源IP：任意；目的IP：除了10.4.5.6以外任意
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意
tcp.port == 25 //显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25 //显示目的TCP端口号为25的封包。
tcp.flags //显示包含TCP标志的封包。
tcp.flags.syn == 0×02 //显示包含TCP SYN标志的封包。
如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

6.1 Wireshark：捕获过滤器 (只抓icmp包) 、src host 10.12.160.10 && dst port 80
http://www.zh-cjh.com/wangluoanquan/2114.html
6.2 Wireshark过滤器语法总结
http://www.zh-cjh.com/wangluoanquan/2115.html
6.3 Wireshark：显示过滤器
http://www.zh-cjh.com/wangluoanquan/2116.html

Wireshark抓包工具（列表、list、全）Wiresharklist
http://www.zh-cjh.com/wenzhangguilei/2125.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html