Wireshark 常用規則

Wireshark常用過濾規則：

過濾IP地址：
ip.addr == 192.168.47.2

過濾目的地址：
ip.dst == 192.168.43.2

過濾源地址：
ip.src == 59.110.42.77

過濾tcp 80埠和udp 80埠資料（ || 表示或）：
tcp.port == 80 || udp.port == 80

過濾目的埠為80的資料：
itcp.dstport==80

過濾源埠為80的資料：
tcp.srcport==80

過濾協定(直接輸入協定名稱)：
http

http模式過濾：
過濾get包，http.request.method=="GET"
過濾post包，http.request.method=="POST"

過濾兩種條件時，使用and連線:
過濾ip為192.168.101.8並且為http協定，ip.src==192.168.101.8 and http

過濾埠範圍:
tcp.port >= 1 and tcp.port <= 80

過濾MAC
eth.dst == A0:00:00:04:C5:84 // 過濾目標mac
eth.src eq A0:00:00:04:C5:84 // 過濾來源mac

其他功能說明：

追蹤一次完整資料互動的流:
follow —> TCP Stream
follow —> UDP Stream

附錄：

比如post一個表單，假如表單很大的話，會對tcp流進行分片。
在wireshark中顯示就是“TCP segment of a reassembled PDU”這樣一條資料；

在Ubuntu 17.10, 16.04中安裝Wireshark 2.4.4  http://www.linuxidc.com/Linux/2018-01/150472.htm

Wireshark 2.6 發布，世界上受歡迎的網路協定分析器 https://www.linuxidc.com/Linux/2018-04/152059.htm

Linux公社的RSS地址：https://www.linuxidc.com/rssFeed.aspx

本文永久更新連結地址：https://www.linuxidc.com/Linux/2018-08/153438.htm