过滤协议有:http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
过滤ip
1 2 3 4
| ip.addr==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包 ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包 ip.src==192.168.1.1 //显示源地址是192.168.1.1的数据包 ip.src==192.168.0.0/16 //网络过滤,过滤一个网段
|
端口过滤
1 2 3 4 5
| tcp.port==80 //TCP端口 tcp.dstport == 80 //TCP目的端口 tcp.srcport == 80 //TCP源端口 udp.port eq 15000 //UDP端口 tcp.port >= 1 and tcp.port <= 80 //TCP 1-80之间的端口
|
MAC地址过滤
1 2 3
| eth.src==A0:00:00:04:C5:84 //源MAC地址 eth.dst==A0:00:00:04:C5:84 //目的MAC地址 eth.addr==A0:00:00:04:C5:84 //MAC地址(包括源和目的)
|
包长度过滤
1 2 3 4
| udp.length==20 //整个UDP数据包 tcp.len>=20 //TCP数据包中的IP数据包 ip.len==20 //整个IP数据包 frame.len==20 //整个数据包
|
http过滤
1 2 3 4 5
| http.request.method=="GET" //请求方法为GET http.request.method=="POST" //请求方法为POST http.request.uri=="/img/logo-edu.gif" //指定URL http contains "FLAG" //请求或相应中包含特定内容: http.host == "tracker.1ting.com" //显示请求的域名为tracker.1ting.com的http封包
|
参考链接:
http://www.freebuf.com/column/155600.html
https://blog.csdn.net/cumirror/article/details/7054496
https://blog.csdn.net/qq_29277155/article/details/52071376