Wireshark使用技巧总结

将自己在使用Wireshark软件过程中的一些命令贴出来,给大家参考一下。后续会逐渐完善......

1、筛选tcp特征位字段命令

            tcp.flags.fin == 1     //得到所有tcp特征位FIN为1的报文

            tcp.flags.fin == 1 and tcp.flags.ack == 1  //得到所有tcp特征位FIN和ACK都为1的报文

2、筛选指定长度的报文

           frame.len ne 122  //得到长度不等于122的报文

           frame.len eq 122  //得到长度等于122的报文

           frame.len lt 122    //得到长度小于122的报文

           frame.len gt 122   //得到长度大于 122的报文

3、筛选指定协议报文

           ip and tcp      //得到ipv4的tcp报文

           ipv6 and tcp      //得到ipv6的tcp报文

           tcp     //得到所有tcp报文

            icmp      //得到所有icmp报文

4、筛选指定IP地址的报文

            ip.addr == 192.168.1.11        //得到ip地址为192.168.1.11的所有报文

            ip.src == 192.168.1.11            //得到源ip地址为192.168.1.11的所有报文

            ip.dst == 192.168.1.11            //得到目的ip地址为192.168.1.11的所有报文

5、筛选指定端口的报文

            tcp.srcport == 80                   //得到源port为80的所有tcp报文

            tcp.dstport == 80 

            tcp.port == 80 

 

            udp.srcport == 80                   //得到源port为80的所有udp报文

            udp.dstport == 80 

            udp.port == 80 

6、提取前100个报文

             frame.number le 100               //提取前100个报文

你可能感兴趣的:(其他)