Wireshark过滤规则:1。IP过滤，包括源IP或等于某个IP的目标IP；2.端口过滤；3.协议过滤器tcp；4.包长过滤；5.http模式过滤。

Wireshark过滤规则:

一、IP过滤:包括源IP或目标IP等于某个IP

例如:IP.src addr = = 192.168.0.208或IP.src addr eq 192.168.0.208显示源IP

Ip . dsaddr = = 192 . 168 . 0 . 208或IP . dsaddr eq 192 . 168 . 0 . 208显示目标IP

二、端口过滤:

例如:tcp.port eq 80 //无论端口是源端口还是目的端口，都会显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80或udp.port eq 80

Tcp . dsport = = 80//只显示TCP协议的目标端口80

Tcp.srcport == 80 //只显示Tcp协议的源端口80

过滤器端口范围

tcp.port = 1和tcp.port & lt= 80

第三，协议过滤:tcp

（同uridinephosphorylase）尿苷磷酸化酶

阿尔普

网间控制报文协议（Internet Control Messages Protocol的缩写）

超文本传送协议（Hyper Text Transport Protocol的缩写）

简单邮件传输协议

文件传输协议（File Transfer Protocol的缩写）

十进位计数制

msnms

互联网协议（Internet Protocol的缩写）

安全套接层

等等

排除ssl包，例如！Ssl还是不ssl

第四，包长度过滤:

例如:

Udp.length == 26该长度是指Udp本身的固定长度8加上udp以下的数据包总和

Tcp.len = 7指的是ip包(Tcp下面的数据)，不包括tcp本身

Ip.len == 94除了以太网头14的固定长度，其他都是Ip。len，也就是从IP本身到最后。

Frame.len == 119整个包的长度，从eth到end

动词 （verb的缩写）http模式过滤:

示例:

http.request.method == "GET " http.request.method == "POST " http . request . uri = = "/img/logo-edu . gif " http包含“GET” http包含“HTTP/1”。 // GET包包含一个头字段 http . request . method = = " GET " & amp；& amp包含“主机:” http . request . method = = " GET " & amp；& amp包含“用户代理:” // POST包包含一个标头字段 http . request . method = = " POST " & amp；& amp包含“主机:” http . request . method = = " POST " & amp；& amp包含“用户代理:” //响应数据包包含一个报头字段 http包含“HTTP/1.1 200 OK”& amp；& amp包含“内容类型:” http包含“HTTP/1.0 200 OK”& amp；& ampHttp包含“内容类型:”VI。连接器和/或

七.表达式:！(arp.src==192.168.1.1)和！(ARP . dst . proto _ IP v4 = = 192 . 168 . 1 . 243)

八、专家消息用于过滤信息信息，主要用contains来使用