wireshark常用过滤命令

wireshark常用过滤命令网上一搜一堆，我一般比较常用的就几个

ip.addr==xxx.xxx.xxx.xxx

tcp.port=xxx

udp.port==xxx

http.request.uri contains "xxx"

http contains "xxx"

http.request.method == "HEAD"

http.request.method == "GET"

http.request.method == "POST"

我一般会先用具体协议过滤个大概，比如tcp、udp、ssh、ftp、icmp、ssl、http、smtp等

一、过滤协议

tcp

udp

arp

icmp

http

smtp

ftp

dns

ssl

ssh

二、过滤IP

ip.src eq IP or ip.dst eq IP或ip.addr eq IP

eq也可以用==代替

"不等于"怎么表达？测试!=不行，得用not xx==yy，例如not tcp.port==3389 && not ip.addr==10.135.71.54 && not tcp.port==80（tcp端口不等于3389且tcp端口不等于22且地址不等于10.135.71.54）

再比如

!ssl 或者 not ssl

!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

三、过滤端口

tcp.port eq 443

tcp.dstport == 80 or tcp.srcport == 80

udp.port eq 53

四、过滤方向

src，dst，src and dst，src or dst

srcport，dstport，srcport and dstport，srcport or dstport

五、过滤http

①过滤http模式

http.request.method == "HEAD"

http.request.method == "GET"

http.request.method == "POST"

②模糊匹配字符串

http字符串过滤，这个字符串可以在Server部分，在URI部分，在域名部分等等

http.request.uri contains "string"

http contains "string"

六、tcp stream过滤

tcp.stream eq $streamindex

七、过滤rst

可以用这个条件找异常rst: tcp.flags.reset == 1 and tcp.ack == 0

例如ip.addr==10.1.2.35 && ip.addr==115.159.131.24 && tcp.flags.reset == 1