WireShack過濾規則書寫：

一、IP過濾：

　　（1）源IP：（以192.168.1.122為源IP舉例）

　　　　　表達式：ip.src==192.168.1.122或ip.src eq 192.168.1.122　　　　//篩選出源IP是192.168.1.122的數據包

　　（2）目標IP：（以192.168.1.137為目的IP舉例）

　　　　　表達式：ip.dst==192.168.1.137或ip.src eq 192.168.1.137　　　　//篩選出目的IP是192.168.1.137的數據包

　　（3）直接按IP過濾：（以192.168.1.137為舉例IP）

　　　　　表達式：ip.addr==192.168.1.137或ip.src eq 192.168.1.137　　　　//篩選出與192.168.1.137相關的數據包

二、端口過濾：

　　比如：tcp.port eq 80 // 不管端口是來源的還是目標的都顯示

　　　　　tcp.port == 80

　　　　　tcp.port eq 2722

　　　　　tcp.port eq 80 or udp.port eq 80

　　　　　tcp.dstport == 80 // 只顯tcp協議的目標端口80

　　　　　tcp.srcport == 80 // 只顯tcp協議的來源端口80

　　過濾端口范圍

　　　　　tcp.port >= 1 and tcp.port <= 80

三、協議過濾：

　　tcp 、udp、 arp、 icmp、 http、 smtp、 ftp、 dns、 msnms、 ip、 ssl 等等 ，排除ssl包，如!ssl 或者 not ssl

四、包長度過濾：

　　比如： udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和

　　　　　tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身

　　　　　ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最后

　　　　　frame.len == 119 整個數據包長度,從eth開始到最后

五、http模式過濾：

　　例子: http.request.method == “GET”

　　　　 ?http.request.method == “POST”

　　　　 ?http.request.uri == “/img/logo-edu.gif”

　　　　 ?http contains “GET”

　　　　 ?http contains “HTTP/1.”

　　// GET包

　　　　 ?http.request.method == “GET” && http contains “Host: ”

　　　　 ?http.request.method == “GET” && http contains “User-Agent: ”

　　// POST包

　　　　　http.request.method == “POST” && http contains “Host: ”

　　　　　http.request.method == “POST” && http contains “User-Agent: ”

　　// 響應包

　　　　　http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”

　　　　　http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”

　　一定包含如下： Content-Type:

六、連接符 and / or

七、表達式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

http://www.cnblogs.com/zhusd/archive/2010/11/16/1878375.html

總結

以上是生活随笔為你收集整理的WireSkark（六）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。