Wireshark - 过滤表达式的规则

---

1. 过滤 协议

• 1、TCP - 只显示TCP协议
• 2、!TCP - 排除TCP协议
  
  

2. 过滤 端口

• 1、tcp.port==6666 - 显示（不分来源或目标）端口
• 2、tcp.dstport==6666 - 只显示目标端口
• 3、tcp.srcport==6666 - 只显示来源端口
  
  

3. 过滤 IP

• 1、ip.addr==168.88.88.88 - 显示（不分来源或目标）IP地址
• 2、ip.dst==168.88.88.88 - 只显示目标IP地址(Destination)
• 3、ip.src==168.88.88.88 - 只显示来源IP地址（Source）
  
  

4. 过滤 TCP重传数据包

• 1、!(tcp.analysis.retransmission) - 过滤 TCP重传数据包
  
  

5. 包长度过滤

• 1、tcp.len>=7 - 指的是tcp包里data数据部分的长度
  
  或
  
  
  

6. 利用色彩规则过滤无效通讯数据

• 1、frame.coloring_rule.name == “TCP” - 过滤无效通讯数据，只保留TCP有效数据包
  
  

7. 筛选关键数据

• 1、tcp contains ff:53:4d:42 - 从tcp头部开始筛选出包含十六进制ff:53:4d:42数据的tcp包。
  
  

8. <未完待续2023.5.23>