wirshare抓包过滤

过滤器的使用

host 192.168.1.1 过滤与主机192.168.1.1 相关的流量
src host 192.168.1.1 源地址是192.168.1.1的流量
port 23 端口为23的流量
dst host 172.16.10.10 目的地址是172.16.10.10
dst port 23 目的端口是23的流量
src port 23 源地址是23的流量
src 172.16.10.10 and tcp port 23 源地址是172.16.10.10 和端口是23的流量
dst 172.16.10.10 or dst 192.168.1.2 去往172.16.10.10 或者去192.168.1.2的流量
not src host 10.0.0.1 源地址不是10.0.0.1的流量
not port 21 and not port 22 不是端口21和22的流量
tcp TCP流量 udp同理
tcp or udp TCP或者UPD流量
host www.google.com 主机www.google.com的相关流量
ether MAC地址 查询相关MAC地址的主机

高级过滤语法
icmp[0] = 0 icmp 请求数据包
icmp[0:1] = 8 ICMP 响应的数据包
icmp[0:1] = 3 ICMP 目的主机不可达包
TCP[13] = 2 仅抓取TCP SYN 标记数据包
TCP[13] = 18 抓去 syn/ack
TCP [13] = 32 仅抓去TCP URG标记设置的数据包

特殊过滤符号

==/eq 等于
！=/ne 不等于
</lt 小于
<=/le 小于或者等于
>/gt 大于
>=/ge 大于等于
AND/&&
or/||
not/!