/*WireShark过滤语法*/1.过滤IP，如来源IP或者目标IP等于某个IP例子:ip.srceq192.168.1.107orip.dsteq192.168.1.107或者ip.addreq192.168.1.107//都能显示来源IP和目标IP2.过滤端口例子:tcp.porteq80//不管端口是来源的还是目标的都显示tcp.port==80tcp.porteq2722tcp.porteq80orudp.porteq80tcp.dstport==80//只显tcp协议的目标端口80tcp.srcport==80//只显tcp协议的来源端口80udp.porteq15000过滤端口范围tcp.port>=1andtcp.port<=803.过滤协议例子:tcpudparpicmphttpsmtpftpdnsmsnmsipssloicqbootp等等排除arp包，如!arp或者notarp4.过滤MAC太以网头过滤eth.dst==A0:00:00:04:C5:84//过滤目标maceth.srceqA0:00:00:04:C5:84//过滤来源maceth.dst==A0:00:00:04:C5:84eth.dst==A0-00-00-04-C5-84eth.addreqA0:00:00:04:C5:84//过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的lessthan小于<lt小于等于le等于eq大于gt大于等于ge不等ne5.包长度过滤例子:udp.length==26这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len>=7指的是ip数据包(tcp下面那块数据),不包括tcp本身ip.len==94除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len==119整个数据包长度,从eth开始到最后eth--->iporarp--->tcporudp--->data6.http模式过滤例子:http.request.method=="GET"http.request.method=="POST"http.request.uri=="/img/logo-edu.gif"httpcontains"GET"httpcontains"HTTP/1."//GET包http.request.method=="GET"&&httpcontains"Host:"http.request.method=="GET"&&httpcontains"User-Agent:"//POST包http.request.method=="POST"&&httpcontains"Host:"http.request.method=="POST"&&httpcontains"User-Agent:"//响应包httpcontains"HTTP/1.1200OK"&&httpcontains"Content-Type:"httpcontains"HTTP/1.0200OK"&&httpcontains"Content-Type:"一定包含如下Content-Type:7.TCP参数过滤tcp.flags显示包含TCP标志的封包。tcp.flags.syn==0x02显示包含TCPSYN标志的封包。tcp.window_size==0&&tcp.flags.reset!=18.过滤内容tcp[20]表示从20开始，取1个字符tcp[20:]表示从20开始，取1个字符以上tcp[20:8]表示从20开始，取8个字符tcp[offset,n]udp[8:3]==81:60:03//偏移8个bytes,再取3个数，是否与==后面的数据相等？udp[8:1]==32如果我猜的没有错的话，应该是udp[offset:截取个数]=nValueeth.addr[0:3]==00:06:5B例子:判断upd下面那块数据包前三个是否等于0x200x210x22我们都知道udp固定长度为8udp[8:3]==20:21:22判断tcp那块数据包前三个是否等于0x200x210x22tcp一般情况下，长度