Wireshark过滤参数
过滤 IP:
- ip.addr==1.1.10.180
- ip.src==1.1.10.180
- ip.dst==1.1.10.180
过滤端口:
- tcp.port==8820
- tcp.srcport==8800
- tcp.dstport==8800
过滤长度:
- tcp.len>500
过滤协议:
- tcp
另,
- 多个过滤同时支持,在条件间使用&&连接
- 多个过滤支持其一,在条件间使用 or
- 要排除过滤条件,使用!
筛选指定IP和端口号
- ip.addr == 192.20.31.118 && tcp.port == 7777
筛选带有某一标志位的报文
- tcp.flags.syn == 1
- tcp.flags.fin == 1
- tcp.flags.reset == 1
筛选重传报文
- tcp.analysis.fast_retransmission || tcp.analysis.retransmission
筛选源IP为指定IP的ICMP报文:
- icmp && ip.src == 172.20.31.130
筛选目的IP为指定IP的ICMP报文:
- icmp && ip.dst == 172.20.31.130
筛选源或目的IP为指定IP的ICMP报文:
- icmp && ip.addr == 172.20.31.130
去掉ICMP报文:
- !icmp
