过滤器语法 
-------------------------------------------------------------

最简单的过滤允许你检查一个协议或者字段的存在。如果你想查看所有的使用IP协议的数据包,过滤器为“ip”(不带引号)。想看所有包含Token-ring RIF字段的数据包,使用“tr.rif”。
可以使用“exist”操作符来看一个协议或者字段是否存在。
注意:所有的协议和字段的名字可以在过滤器的参考中获得。

比较操作符
-------------------------------------------------------------

字段可以与值进行比较。比较操作符可以使用类似英语的简写,也可以使用c语言的字符。
eq,==              等于
ne,!=                 不等于
gt,>                    比...大
lt,<                     比...小
ge,>=                大于等于
le,<=                  小于等于

搜索比较操作符 
--------------------------------------------------------------
另外还有一些操作符只能使用类英语简写,不能使用类c语言简写。
contains 判断一个协议,字段或者分片包含一个值
matches             判断一个协议或者字符串匹配一个给定的Perl表达式

“contains”操作符允许一个过滤器搜索一串字符,其形式为字符串,或者字节,或者字节组。例如在搜索一个HTTP URL地址,可以使用下面的过滤器:
http contains “http://www.wireshark.org”; 
“contains”操作符不能被用于原子型的字段,比如数字和ip地址。

“matches ”操作符允许一个过滤器使用与Perl兼容的正则表达式(PCRE)。“matches” 操作符只能应用于协议或者字符串类型的协议字段。例如:搜索一个给定的wAP WSP User-Agent,你可以这样写过滤器:
wsp.user_agent matches "(?i)cldc"

函数
-------------------------------------------------------------
过滤器的语言还有下面几个函数:
upper(string-field)-把字符串转换成大写
lower(string-field)-把字符串转换成小写

upper((和lower((在处理大小写敏感的字符串比较时很有用。例如:
upper(ncp.nds_stream_name) contains "MACRO"
lower(mount.dump.hostname) =="angel"

协议字段类型 
---------------------------------------------------------------
每个协议的字段都有规定的类型。这些类型是:
unsigned integer               无符号整数(8比特、16比特、24比特、32比特)
signed integer                   有符号整数(8比特、16比特、24比特、32比特)
Boolean                             布尔值
Ethernet address               以太网地址(6字节)
Byte array                          字节数组
IPv4 address                      IPv4地址
IPv6 address                      IPv6地址
IPX network number           IPX网络地址
Text string                          文本串
Double-precision floating point number          双精度浮点值

一个整数可以有三种表示方法,十进制、八进制和十六进制。下面三个例子是相同的:

frame.pkt_len>10
frame.pkt_len>012
frame.pkt_len>0xa

布尔值不是true就是false.在测试一个布尔类型字段的显示过滤器中,"true"的值相当于1或者其它的非0值,"false"就是0。
例如:令牌环数据包中一个源路由字段是布尔型的.找到源路由的数据包,可以这样写显示过滤器:
tr.sr==1

非源路由数据包可以使用这样的过滤器:
tr.sr==0

以太网地址和字节数组使用十六进制表示.十六进制的数字可以被       ":"         "."         "-"       分隔。例如:

eth.dst        eq        ff:ff:ff:ff:ff:ff
         aim.data == 0.1.0.d
         fddi.src == aa-aa-aa-aa-aa-aa
         echo.data == 7a

IPv4 地址可以被表示成点分十进制或者使用主机名表示。例如:

ip.dst eq www.mit.edu 
         ip.src == 192.168.1.1

IPv4地址之间可以和数字之间一样,使用关系符号比较:eq,ne,gt,ge,lt和le。IPv4地址按照主机顺序存储,这样当你在使用显示 过滤器的时候就不用担心IPv4地址的结束了。

当使用IPv4子网划分的时候,CIDR表示法也可以使用。例如:以下的过滤器可以找到所有129.111的数据包:
ip.addr==129.111.0.0/16

记住,斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名,例如C类网络中主机“sneezy”的IP地址。
ip.addr eq sneezy/24

Wireshark filter语法的更多相关文章

  1. wireshark过滤语法总结-重点偏移过滤

    http://chenjiji.com/post/3371.html 作者: CHAN | 发布: 2013 年 10 月 24 日 做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wi ...

  2. 转: wireshark过滤语法总结

    from: http://blog.csdn.net/cumirror/article/details/7054496 wireshark过滤语法总结 原创 2011年12月09日 22:38:50 ...

  3. wireshark filter manualpage

    NAME wireshark-filter - Wireshark filter syntax and reference SYNOPSIS wireshark [other options] [ - ...

  4. Active Directory的DirectoryEntry与DirectorySearcher初识及Filter语法

    前言 增删改查,我想查询是最先要说的一个了.本章主要记录使用.NET Framework进行对域控服务器对象的查询操作,介绍DirectoryEntry与DirectorySearcher(搜索器)及 ...

  5. wireshark过滤语法总结

    抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考.(脑子记不住东西) wireshark进行过滤时 ...

  6. Wireshark 过滤器语法

    wireshark有两种过滤器: 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中. 显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找. 捕捉 ...

  7. wireshark过滤语法总结 (转载)

    做应用识别这一块经常要对应用产生的数据流量进行分析. 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后 ...

  8. (十八)WireShark 过滤语法

    1.过滤IP,如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1. ...

  9. WireShark 过滤语法

    1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.1 ...

随机推荐

  1. electron-vue中使用iview 报错this. is readonly的解决办法

    title: electron-vue中使用iview 报错this. is readonly的解决办法 toc: false date: 2019-02-12 19:33:28 categories ...

  2. Linux命令学习-curl

    作用 curl是利用URL语法的一款强大的网络工具,你可以使用它完成上传下载文件等操作. curl http://www.cnblogs.com 上诉的命令即可将页面内容打印到屏幕上. 常用参数 -o ...

  3. Spring学习笔记(一) 简介

    版权声明 本文是摘自IBM上Naveen Balani的一篇文章,原文请点击此处:http://www.ibm.com/developerworks/cn/java/wa-spring1/ Sprin ...

  4. Oracle数据库基础(二)

    1.表名命名规则:必须以字母开头,不能超过30个字符,不要有Oracle保留字    2.数据类型      字符型:         char :2000个字符   定长  效率高          ...

  5. Unity坐标系 左手坐标系 图

    x轴:从左指向右 y轴:从下指向上 z轴:指向屏幕里的是左手坐标系,指向屏幕外的是右手坐标系 记忆小技巧:都是X轴朝右,Y轴向上,跟平时画坐标一模一样,区别只是Z的朝向.你用手试一下就知道了,当大拇指 ...

  6. Unity 默认进入的scenes

    1,如果有多个场景,那么第一个场景要放在最上边,(其他的也要加) 2,如果不添加,那么Unity会把当前打开的场景添加进来. 3,切换场景的代码 using UnityEngine.SceneMana ...

  7. ZBrush软件特性之Edit

    ZBrush®中的Edit调控板控制撤销和重做命令,它有一或两个命令设置将根据Tool工具调控板当前选择的工具而定,默认配置的命令仅有文档编辑,不过当激活一个3D工具,只针对这个工具的两个按钮设置变成 ...

  8. day03 Python3的安装

    目录 Python的安装 Python下载 Python3安装 环境变量 添加环境变量 在CMD中运行Python Python的安装 Python可在多个操作系统(Windows,Linux,Mac ...

  9. Linux网络配置、文件及命令

    Linux的网络配置是曾一直是我学习Linux的埋骨之地,投入了大量的精力和心神但是自己的虚拟机就是联不了网.原来一个大意,我一躺就是一年半.在这里简单的谈谈我对网络的微微认识. VMware的联网模 ...

  10. Mysql ERROR 1067: Invalid default value for 字段

    问题: //今天把一个数据库的sql文件导入到另一个数据库出现以下异常: Mysql ERROR 1067: Invalid default value for 字段 //原因是因为之前导出数据里面有 ...