WireShark 显示过滤器
【摘要】 如何使用显示过滤器或者按住 CTRL + F,输入显示过滤器 二层显示过滤器举例 长度小于128字节的数据包frame.len<=128 排除ARP流量!arp 三层显示过滤器举例 只显示192.168.0.1 IP相关数据包ip.addr==192.168.0.1 四层显示过滤器举例 排除RDP流量!tcp.port==3389 具有SYN标志的TCP数据包tcp.flags.syn==...
如何使用显示过滤器
或者按住 CTRL + F,输入显示过滤器
二层显示过滤器举例
长度小于128字节的数据包
frame.len<=128
排除ARP流量
!arp
三层显示过滤器举例
只显示192.168.0.1 IP相关数据包
ip.addr==192.168.0.1
四层显示过滤器举例
排除RDP流量
!tcp.port==3389
具有SYN标志的TCP数据包
tcp.flags.syn==1
具有RST标志的TCP数据包
tcp.flags.rst==1
TCP确认时间较久
tcp.analysis.ack_rtt > 0.2 and tcp.len == 0
###启用TCP Relative Sequence Number的情况
如何启用?
Edit -> Preferences -> Protocols -> TCP Relative Sequence Numbers
握手被对方拒绝的包
tcp.flags.reset == 1 && tcp.seq == 1
客户端重传
tcp.flags.syn == 1 && tcp.analysis.retransmission
Tcp包含
tcp contains {str}
应用层显示过滤器举例
所有http流量
http
文本管理流量
tcp.port == 23 || tcp.port == 21
文本email流量
email || pop || imap
只显示访问某指定主机名的HTTP协议数据包
http.host == <“hostname”>
只显示包含HTTP GET方法的HTTP协议数据包
http.request.method == ‘GET’
只显示HTTP 客户端发起的包含指定URI请求的HTTP协议数据包
http.request.uri == <“Full request URI”>
只显示包含ZIP文件的数据包
http matches “.zip” && http.request.method == ‘GET’
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)