wireshark过滤规则

　　一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：

　　（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。

　　         表达式为：ip.src == 192.168.0.1

　　（2）对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。

　　         表达式为：ip.dst == 192.168.0.1

　　（3）对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip地址是192.168.0.1的包。

　　         表达式为：ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

　　（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用 "!" 即可。

　　         表达式为：!(表达式)

 

　　二、针对协议的过滤

　　（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。

                表达式为：http

　　（2）需要捕获多种协议的数据包，也只需对协议进行逻辑组合即可。

　　         表达式为：http or telnet （多种协议加上逻辑符号的组合即可）

　　（3）排除某种协议的数据包

　　         表达式为：not arp      !tcp

 

　　三、针对端口的过滤（视协议而定）

　　（1）捕获某一端口的数据包

　　         表达式为：tcp.port == 80

　　（2）捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式

　　         表达式为：udp.port >= 2048

 

　　四、针对长度和内容的过滤

　　（1）针对长度的过虑（这里的长度指定的是数据段的长度）

　　         表达式为：udp.length < 30   http.content_length <=20

　　（2）针对数据包内容的过滤

　　　　  表达式为：http.request.uri matches "vipscu"  （匹配http请求中含有vipscu字段的请求信息）

　　

以下是一些示例：

tcp dst port 3128

显示目的TCP端口为3128的封包。

ip src host 10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500

显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

not imcp

显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。

http.host==magentonotes.com
http.host contains xxx.com
过滤经过指定域名的http数据包，这里的host值不一定是请求中的域名

http.response.code==302
过滤http响应状态码为302的数据包

http.response==1
过滤所有的http响应包

http.request==1
过滤所有的http请求，貌似也可以使用http.request

http.request.method==POST
wireshark过滤所有请求方式为POST的http请求包，注意POST为大写

http.cookie contains guid
过滤含有指定cookie的http数据包

http.request.uri==”/online/setpoint”
过滤请求的uri，取值是域名后的部分

http.request.full_uri==” http://task.browser.360.cn/online/setpoint”
过滤含域名的整个url则需要使用http.request.full_uri

http.server contains “nginx”
过滤http头中server字段含有nginx字符的数据包

http.content_type == “text/html”
过滤content_type是text/html的http响应、post包，即根据文件类型过滤http数据包

http.content_encoding == “gzip”
过滤content_encoding是gzip的http包

http.transfer_encoding == “chunked”
根据transfer_encoding过滤

http.content_length == 279
http.content_length_header == “279″
根据content_length的数值过滤

http.server
过滤所有含有http头中含有server字段的数据包

http.request.version == “HTTP/1.1″
过滤HTTP/1.1版本的http包，包括请求和响应

http.response.phrase == “OK”
过滤http响应中的phrase