Wireshark过滤器的使用

3、捕获过滤器的使用
点击“捕获(C)-->选项(O)-->Input-->Capture filter for selected interfaces:”，输入下面的内容
3.1捕获单个IP地址
host 192.168.1.1                        //所有与主机192.168.1.1相关的流量
host 192.168.1.1 or host  192.168.1.2   //所有与主机192.168.1.1或192.168.1.1相关的流量
src host 192.168.1.1                    //所有从主机192.168.1.1始发的流量
src host 192.168.1.1 && dst port 80     //源地址为192.168.1.1，目的端口为80的流量
src 192.168.1.1 and port 21   /         /所有从192.168.1.1并且TCP端口21相关的流量
dst host 192.168.1.1                    //所有去往主机192.168.1.1的流量
not src host 192.168.1.1  /             /所有并非由主机192.168.1.1始发的流量
host wwww.baidu.com                     //所有去往baidu ip地址或者来自baidu ip地址的流量
3.2捕获IP地址范围
net 192.168.0.0/24                    //192.168.0.0网络中任何主机的数据
net 192.168.0.0 mask 255.255.255.0    //192.168.0.0网络中任何主机的数据
ip6 net 2406:da00:ff00::/64           //2406:da00:ff00:00000(ipv6)网络中任何主机的数据
not dst net 192.168.0.0/24            //目的ip是192.168.0.0网络外的所有数据
dst net 192.168.0.0/24                //目的地址是192.168.0.0网络中的所有数据
src net 192.168.0.0/24                //源地址是192.168.0.0网络中的所有数据
3.3捕获广播或多播地址
!broadcast                            //不要抓取广播包
ip broadcast                          //255.255.255.255的数据
ip multicast                          //224.0.0.0-239.255.255.255的数据
dst host ff02::1                      //所有主机到ipV6多播地址的数据
3.4捕获MAC地址
ether host 00:88:ca:86:f8:0d         //所有与00:88:ca:86:f8:0d主机的MAC地址相关的数据
ether src host 00:88:ca:86:f8:0d     //来自与00:88:ca:86:f8:0d主机的MAC地址相关的数据
ether dst host 00:88:ca:86:f8:0d     //到达与00:88:ca:86:f8:0d主机的MAC地址相关的数据
not ether host 00:88:ca:86:f8:0d     //除了与00:88:ca:86:f8:0d主机的任何MAC地址相关的数据
3.5捕获所有端口号
port 8080                //所有与8080端口相关的流量
src port 53              //所有由端口53始发的流量
dst port 21              //所有去往端口21的流量
tcp                      //所有TCP流量
tcp or udp               //所有TCP流量或者UDP流量
tcp port 21              //端口号21的TCP数据
portrange 1-80           //端口号1-80的TCP/UDP数据
tcp portrange 1-80       //端口号1-80的TCP数据
not port 21 and not port 22  //所有既与端口21无关，也与端口22无关的流量
tcp[13]=2               //仅抓取TCP SYN标记数据包
tcp[13]=18              //仅抓取TCP SYN/ACK标记数据包
tcp[13]=32              //仅抓取TCP URG标记设置数据包
3.6捕获特定ICMP数据

icmp                    //所有ICMP数据包
icmp [0]=0              //ICMP回送应答数据包
icmp [0]=3              //ICMP目标不可达数据包
icmp [0]=4              //ICMP原点抑制数据包
icmp [0]=5              //ICMP重定向或改变路由数据包
icmp [0]=8              //ICMP回送请求(Echo Request)数据包
icmp [0]=9              //ICMP路由器公告数据包
icmp [0]=10             //ICMP路由器请求数据包
icmp [0]=11             //ICMP超时数据包
icmp [0]=12             //ICMP参数问题数据包
icmp [0]=13             //ICMP时间戮请求数据包
icmp [0]=14             //ICMP时间戮回答数据包
icmp [0]=17             //ICMP地址子网请求(Address Mask Request)数据包
icmp [0]=18             //ICMP地址子网应答数据包
icmp [0:1]=8            //ICMP响应数据包
icmp [0:1]=3            //ICMP目的主机不可达数据包

4、应用显示过滤器
4.1协议过滤器
arp                     //显示所有ARP流量，包括免费ARP、ARP请求和ARP应答
ip                      //显示所有ipv4流量，包括有ipv4头部嵌入式的包(如ICMP目标不可达的数据包，返回到ICMP头后进入到ipv4头部)
ipv6                    //显示所有ipv6流量，包括ipv4包和有ipv6头部嵌入式的包
tcp                     //显示所有基于TCP的流量数据
4.2应用过滤器
bootp                   //显示所有DHCP流量(基于BOOTP)
dns                     //显示所有DNS流量，包括基于TCP传输和UDP的DNS请求和响应
tftp                    //显示所有tftp流量
icmp                    //显示所有icmp流量
http                    //显示所有http命令、响应和数据传输包，但是不显示TCP握手包、TCP确认包或TCP断开连接的包
4.3字段存在过滤器
bootp.option.hostname    //显示所有DHCP流量，包含主机名(DHCP是基于BOOTP)
http.host                //显示所有包含有HTTP主机名字段的HTTP包，该包通常是由客户端发送给一个web服务器的请求
ftp.request.command      //显示所有ftp命令数据，如user、pass或RETR命令
4.4特有过滤器
tcp.analysis.flags          //显示所有与TCP标识有关的包，包括丢包、重发或者零窗口标志
tcp.analysis.zero_window    //显示被标志的包，来表示发送方的缓冲空间已满
4.5显示单个IP地址或主机
ip.src           //表示捕获源IPv4地址的数据
ip.dst           //表示捕获目标IPv4地址的数据
ip.host          //表示到达/来自解析某网站后IPv4地址的数据
ip.addr          //表示到达/来自IPv4地址的数据
对于IPv6数据，可以使用的字段如下
ipv6.src        //表示捕获源IPv6地址的数据。
ipv6.dst        //表示捕获目标IPv6地址的数据
ipv6.host       //表示到达/来自解析某网站后IPv6地址的数据
ipv6.addr       //表示到达/来自IPv6地址的数据
4.6显示地址范围
ip.addr>10.3.0.1 && ip.addr<10.3.0.5         //显示到达/来自IP地址10.3.0.2、10.3.0.3或10.3.0.4主机的数据
ip.addr>=10.3.0.1 && ip.addr<=10.3.0.6）&& !ip.addr--10.3.0.3   //显示到达/来自IP地址为10.3.0.1、10.3.0.2、10.3.0.4、10.3.0.5或10.3.0.6的数据。在这个范围内除了IP地址为10.3.0.3的数据
ipv6.addr>=fe80::&&ipv6.addr 4.7显示一个子网IP
ip.addr==10.3.0.0/16    //显示IP地址从10.3开始的源IP地址字段和目标IP地址字段的所有数据
ip.addr==10.3.0.0/16 && !ip.addr==10.3.1.1     //显示IP地址从10.3开始的源IP地址字段和目标IP地址字段的数据，除了10.3.1.1地址
ip.addr==10.3.0.0/16 && !ip.addr==10.2.0.0/16    //显示除了以10.3或10.2开头的源IP地址字段和目标IP地址字段的数据
4.8 过滤单一TCP/UDP会话
tcp.stream eq 会话序号     //在传输层数据中可以看到会话序号
4.9使用关键字
  1. frame contains "string"搜索，在帧中搜索一个关键字
  2. 字段名搜索，例如前面提到的http.request.method contains "get"
  3. 搜索关键字时不区分大小写，上面那个搜索将搜不出结果，因为字段内容其实是“GET”大写的，修改http.request.method matches "(?i)(get)"
  4. 搜索多个关键字，http.request.method matches "(?i)(get|post)"
  5. 使用通配符，也就是正则表达式
4.10时间过滤器
 在物理层数据帧中有三个时间：
  1.距离上一个捕获的包的时间间隔
  2.从上次显示的包开始计时，距离上一个显示的包的时间间隔
  3.距离第一个捕获包的时间间隔，默认第一个数据帧的时间为0.000000
  frame.time_delta 过滤的是第一种时间
  在Packet List面板中默认加了Time列，表示的是第三种时间。
4.11基于TCP的时间过滤
tcp.time_delta的计算与上一个类似，只是字段包含在TCP头部，如果要查看必须启用Calculate conversation timestamps选项。
依次点击“编辑(E)-->首选项(P)-->Protocols-->TCP”，勾选Calculate conversation timestamps