关于wireshark的两个抓包过滤显示的基本语法

关于wireshark的两个基本语法

1. Capture Filters

语法：<Protocol name><Direction><Host(s)><Value><Logical operations><Expressions>

例子：

• tcp src port 443 ——只抓取来源端口是443的tcp数据
• not arp ——不获取arp数据
• port 80 ——获取端口是80的数据，不指定代表全部都获取
• src 192.168.1.121 and port 233 ——获取来源ip为192.168.1.121端口是233的数据

怎么看待<Logical operations>

• <Protocol name><Direction><Host(s)><Value>称为一个组或者表达式<Expressions>
• <Logical operations>是链接多个表达式
• <Expressions1><Logical operations><Expressions2><Logical operations><Expressions3>……

<Protocol name><Direction><Host(s)><Value><Logical operations>
- protocol可选值：ether, fddi, ip, arp, rarp, decnet, lat, tcp。默认为全部协议
- direction可选值：src, dst, src and dst, src or dst。默认为src or dst
- host(s)可选值：net, port, host, portrange。默认为host，如src 110.119.112.114等价于src host 110.119.112.114
- Logical可选值：not, and, or；
   运算优先级：否("not")具有最高的优先级，或("or")和与("and")具有相同的优先级；
   运算顺序：从左至右

2. Display Filters

语法：<protocol>.<string1>.<string2>.<comparison operator><value> <Logical operators> <expressions>

例子：

• tcp.port==80 ——展示端口是80的tcp数据
• !arp ——不展示ARP协议的数据
• ip.addr==192.168.1.111 ——只显示地址是有192.168.1.111的数据，不论是来源还是目标地址
• (ip.dst==42.156.152.144) && !(ip.dst==42.156.152.144)