wireshark语法
by addy 原创文章,欢迎转载,但希望全文转载,注明本文地址。
wireshark过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。
比值运算
| Item | 表达式 | 表达式 | 表达式 |
|---|---|---|---|
| 等于 | Equal | eq | == |
| 不等于 | Not Equal | ne | != |
| 大于 | Greater Than | gt | > |
| 小于 | Less Than | lt | < |
逻辑运算
| Item | 表达式 | 表达式 | 表达式 |
|---|---|---|---|
| 与运算 | Logical AND | and | && |
| 或运算 | Logical OR | or | || |
| 非运算 | Logical NOT | not | ! |
搜索和匹配参数
| Item | 表达式 | 表达式 |
|---|---|---|
| 包含 | contains “” | 可以搜索一个字符串或者是一个bytes,不能用于原子字段,例如数字或者IP地址 |
| 匹配 | match “” | 支持基于perl规则的正则表达式,对应协议或协议负载内的字符串 |
协议过滤
- tcp.port == 53
- http.request.method == “GET”
- ip.src == 10.230.0.0
- tcp.dstport == 25
内容过滤
- http contains “/min/”
- http.request.uri matches “/min/”
封包详细信息
包列表:
双击每个包,得封包信息:
这个面板是我们最重要的,用来查看协议中的每一个字段。
各行信息分别为:
- Frame: 物理层的数据帧概况
- Linux cooked: 数据链路层以太网帧头部信息
- Internet Protocol Version 4: 互联网层IP包头部信息
- Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
- Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
本文为原创文章,可能会经常更新知识点以及修正一些错误,因此转载请保留原出处,方便溯源,谢谢合作
个人知乎,欢迎关注:https://www.zhihu.com/people/iamaddy
欢迎关注公众号【入门游戏开发】
近期评论