wireshark怎么過濾特定消息？

過濾方法：

一、針對IP地址的過濾。

（1）源地址

表達式為：ip.src == 192.168.0.1

ip.src == 10.230.0.0/16 顯示來自10.230網(wǎng)段的封包。

（2）目的地址

表達式為：ip.dst == 192.168.0.1

（3）源或者目的地址

表達式為：ip.addr == 192.168.0.1,

或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1

ip.src == 192.168.0.1 || ip.dst == 192.168.0.1

（4）排除以上數(shù)據(jù)包

表達式為：!(ip.src == 192.168.0.1)

或者：ip.src != 10.1.2.3

二、針對協(xié)議的過濾

（1）僅僅輸入?yún)f(xié)議名即可。

表達式為：http

（2）多種協(xié)議, 需對協(xié)議進行邏輯組合

表達式為：http or telnet

或者： tcp || udp

（3）排除某種協(xié)議的數(shù)據(jù)包

表達式為：not arp

或者：!tcp

三、針對端口的過濾

（1）某一端口

表達式為：tcp.port == 80

tcp.dstport == 25 顯示目的TCP端口號為25的封包。

（2）多端口

表達式為：udp.port >= 2048 (捕獲高端口)

可用or連接：tcp.dstport>=33758 or tcp.dstport<=33755

and多條件組合：tcp.dstport>=33758 and tcp.srcport==20

四、針對長度和內(nèi)容的過濾

（1）數(shù)據(jù)段的長度

表達式為：udp.length < 30 http.content_length <=20

（2）數(shù)據(jù)包內(nèi)容

表達式為：http.request.uri matches “vipscu” （匹配http請求中含有vipscu字段的請求信息）

五、深度字符串匹配

contains ：Does the protocol, field or slice contain a value

示例

tcp contains “http” 顯示payload中包含