过滤ip
ip.src eq(=) x.x.x.x or ip.dist eq(=) x.x.x.x
//组合过滤也可以设置or,and进行组合过滤
ip.addr eq(=) x.x.x.x
//单个ip过滤
过滤端口
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 只显示tcp协议的目标端口为80
tcp.srcport == 80 只显示tcp协议的源端口为80
tcp.port >= 1 and tcp.port<= 80
过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip...
//直接输入协议名称即可
过滤MAC地址
eth.dst == A0:00:00:04:C5:84 过滤目标mac
包长度过滤
udp. length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.1en >= 7指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len== 119整个数据包长度,从eth开始到最后
http模式过滤
http.request.method == "GET"
http.request.method =="POST"
http.request.uri == "/ img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1. "
http.request.method == "GET" && http contains "User-Agent:"
http contains "flag"
http contains "key"
tcp contains "flag"
源和目的ip 源和目的端口 协议
协议分级
英文版:Statistics->Protocol Hierarchy
中文版:统计->协议分级
文件数据流可能在Media Type
流汇聚
可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容
右击->追踪流