数据包的筛选语法
wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。
对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tcp.port53、http.request.methodget
对内容的过滤,支持深度的字符串匹配过滤如http contains server。
协议过滤:
协议:tcp、udp、arp、icmp、htto、smtp、dns、msn、ss、oicq、 bootp、等等。排除arp包,如!arp或者not arp
Direction(方向):可能的值:src,dst, src and dst, src or dst
Logical Operations(逻辑运算):and 逻辑与; or 逻辑或; not 逻辑非; xor 逻辑异或。
内容过滤
ip addr==10.0.0.5 and tcp. flags. fin
ip addr== 10.0.0.5 or ip.addr==192.1.1.1
tr.dst【0:3】==0.6.29 xor tr src【0:3】==0.6.29
版权声明:本文为weixin_43072508原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。