显示过滤器语法使用:
eth.addr==f4:a8:38:97:66:22 过滤目标mac或源mac地址为f4:a8:38:97:66:22数据包
ip.addr==1.1.1.1 过滤目标iIP或源IP为1.1.1.1数据包
ip.scr==2.2.2.2 过滤源IP为2.2.2.2数据包
ip.dst==3.3.3.3 过滤目标IP为3.3.3.3数据包
tcp.port==80 and http 过滤80端口并且是http协议数据包
tcp.port >= 1 and tcp.port <= 80 过滤端口范围1~80端口
过滤协议:
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
过滤器的语法是正确的----->表达式的背景呈绿色 || 如果呈红色----->说明当前表达式是错误的
可以使用6种比较运算符
eq == ne != gt > lt < ge >= le <=
4种逻辑运算符
and && or || xor ^^ not !
常用关键字
ip.addr 来源或目标ip ip.src 来源ip ip.dst 目标ip tcp.port==23 显示所有端口号为23的tcp封包 tcp.src==127.0.0.1 显示来源ip为127.0.0.1的tcp封包 tcp.dsport==3306 显示目标端口为3306的tcp封包 tcp.flags 显示包含tcp标志的封包 tcp.flags.syn==0x02 显示包含tcp syn标志的封包