筛选表达式实际上是一个(或者多个)逻辑表达式 如果要筛选出某个协议的报文比如 tcp, udp, arp, 等等的话。直接输入协议名称即可 源端口等于某个值,比如是 22的报文。怎么做? tcp.srcport eq 22 目标端口等于某个值,比如是 22的报文。怎么做? tcp.dstport eq 22 源端口不等于某个值,比如是 22的报文 tcp.srcport ne 22 目标端口不等于某个值,比如是 22的报文 tcp.dstport ne 22 源主机等于某个值,比如是 172.20.58.135。怎么做? ip.src_host eq 172.20.58.135 目标主机等于某个值,比如是 172.20.58.136。怎么做? ip.dst_host eq 172.20.58.136 源主机不等于某个值,比如是 172.20.58.135。怎么做? ip.src_host ne 172.20.58.135 目标主机不等于某个值,比如是 172.20.58.136。怎么做? ip.dst_host ne 172.20.58.136 假如多个条件都得满足。怎么做? 源主机和源端口等于 172.20.58.135 和 22 ip.src_host eq 172.20.58.135 and tcp.srcport eq 22 也可以用括号括起来 (ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22) 如果是 “或” 的关系。怎么做? (ip.src_host eq 172.20.58.135) or (tcp.srcport eq 22) 如果是 “非” 的关系。怎么做? not ((ip.src_host eq 172.20.58.135) and (tcp.srcport eq 22)) 端口和IP地址可以是等于、不等于之外。还有 gt 大于 ge 大于等于 lt 小于 le 小于等于 参考文档:Wireshark 用户手册的第六章第四节
使用Wireshark抓包筛选的常用功能,布布扣,bubuko.com
原文:http://blog.csdn.net/nibzer/article/details/38525265