一、wireshark過濾規則？

wireshark常用過濾規則：（Filter中輸入過濾規則）

1、源ip過濾：

ip.src==1.1.1.1 （過濾源ip為1.1.1.1的包）

2、目的ip過濾：

ip.dst==192.168.101.8 （過濾目的ip為192.168.101.8的包）

3、端口過濾:

tcp.port==80 （源端口和目的端口為80的包都過濾出來）

tcp.dstport==80 （只過濾目的端口為80的包）

tcp.srcport==80 （只過濾源端口為80的包）

4、協議過濾：

HTTP （過濾協議為HTTP的包）

get （過濾協議為get的包）

5、http模式過濾：

http.request.method=="GET" （過濾get包）

http.request.method=="POST" （過濾post包）

6、連接符and：

ip.src==192.168.101.8 and http （過濾ip為192.168.101.8，并且為http協議的包）

二、wireshark怎樣過濾https？

過濾器的數據中迅速找到我們需要的信息。 過濾器有兩種， 一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄 一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置 保存過濾 在Filter欄上，填好Filter的表達式后，點擊Save按鈕， 取個名字。比如"Filter 102",

三、wireshark怎么過濾mtu？

1.過濾源 ip、目的 ip在 wireshark 的過濾規則框 Filter 中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1

2.端口過濾如過濾 80 端口，在 Filter 中輸入，tcp.port==80，這條規則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為 80 的，tcp.srcport==80只過濾源端口為 80 的包

3.協議過濾比較簡單，直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議

4.http 模式過濾如過濾 get 包，http.request.method=="GET",過濾 post 包，http.request.method=="POST"

5.連接符 and 的使用過濾兩種條件時，使用and連接，如過濾?ip為192.168.101.8并且為http協議的，ip.src==192.168.101.8 and http

四、wireshark怎么過濾出endmarker？

過濾器的數據中迅速找到我們需要的信息。 過濾器有兩種， 一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄 一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置 保存過濾 在Filter欄上，填好Filter的表達式后，點擊Save按鈕， 取個名字。比如"Filter 102",

五、wireshark怎么設置過濾規則？

　　方法/步驟　　1過濾源ip、目的ip。在wireshark的過濾規則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1；　　2端口過濾。如過濾80端口，在Filter中輸入，tcp.port==80，這條規則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為80的，tcp.srcport==80只過濾源端口為80的包；　　3協議過濾比較簡單，直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議；　　4　　http模式過濾。如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"；　　5　　連接符and的使用。過濾兩種條件時，使用and連接，如過濾ip為192.168.101.8并且為http協議的，ip.src==192.168.101.8 and http。

六、wireshark怎么設置過濾條件？

eth.addr==a.a.a.a.a.a 過濾源或目的MAC地址為a.a.a.a.a.a的數據包eth.src==a.a.a.a.a.a 過濾源MAC地址為a.a.a.a.a.a的數據包eth.dst==a.a.a.a.a.a 過濾目的MAC地址為a.a.a.a.a.a的數據包當然某些時候你不會過濾表達式時，你可以在中間Packet detail一欄中，右擊某個需要過濾的地方應用為過濾器

七、wireshark怎么過濾特定消息？

過濾方法：

一、針對IP地址的過濾。

　　（1）源地址

　　 表達式為：ip.src == 192.168.0.1

　　 ip.src == 10.230.0.0/16 顯示來自10.230網段的封包。

　　（2）目的地址

　　 表達式為：ip.dst == 192.168.0.1

　　（3）源或者目的地址

　　 表達式為：ip.addr == 192.168.0.1,

　　 或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

　　 ip.src == 192.168.0.1 || ip.dst == 192.168.0.1

　　（4）排除以上數據包

　　 表達式為：!(ip.src == 192.168.0.1)

　　 或者：ip.src != 10.1.2.3

　二、針對協議的過濾

　　（1）僅僅輸入協議名即可。

表達式為：http

　　（2）多種協議, 需對協議進行邏輯組合

　　 表達式為：http or telnet

　　 或者： tcp || udp

　　（3）排除某種協議的數據包

　　 表達式為：not arp

　　 或者：!tcp

　三、針對端口的過濾

　　（1）某一端口

　　 表達式為：tcp.port == 80

　　 tcp.dstport == 25 顯示目的TCP端口號為25的封包。

　　（2）多端口

　　 表達式為：udp.port >= 2048 (捕獲高端口)

　　 可用or連接：tcp.dstport>=33758 or tcp.dstport=33758 and tcp.srcport==20

　四、針對長度和內容的過濾

　　（1）數據段的長度

　　 表達式為：udp.length