1:使用系统自带的过滤器
2:选择数据包中的字段作为显示过滤器使用
3:常用的Ethernet过滤器
1:eth.addr==<>:显示具有指定MAC地址的数据帧
2:eth.src ==<>:显示具有指定源MAC地址的数据帧
3:eth.dst==<>:显示具有指定目的MAC地址的数据帧
4:eth.type==<>:显示指定以太网类型的流量
5:eth.dst==ffff.ffff.ffff:显示以太网广播帧
4:常见的IP过滤器
1:ip、ipv6
2:ip.addr==<>:显示发往或源自指定IP地址的数据包 ip.src、 ip.dst
192.168.1.1 192.168.1.0/24
3:ip.ttl==<>:显示IP包头TTL字段值为指定值的数据包 < 、>
4:ip.len==<>:显示指定长度的IP数据包 < 、>
5: ip.dst==224.0.0.0/4:显示发往组播地址的所有数ipv4据包
6:ipv6.dst==ff00::/8:显示发往组播地址的所有数ipv6据包
7:ip.version==<>:显示指定IP版本号的IP数据包
8:ipv6.addr=<>:显示发往或源自指定IPv6地址的数据包
5:TCP/UDP过滤器
1:tcp、udp
2:tcp.port==<>:显示指定的TCP端口的流量 tcp.dstport 、tcp.srcport
3:tcp.analysis :分析TCP性能有关参数
tcp.analysis.retransmission:显示重传的TCP数据包
tcp.analysis.duplicate_ack:显示确认多次的TCP数据包
tcp.analysis.zero_windows:显示含零窗口通告信息的TCP数据包
4:tcp.flags:检查数据包TCP头部中的标记位
tcp.flags.syn==1:显示syn置1的数据包
tcp.flags.reset==1:显示reset置1的数据包
tcp.flags.fin==1:显示fin置1的数据包
5:tcp.window_size_value < X:显示tcp头部窗口大小字段低于指定值得数据包
3
2:选择数据包中的字段作为显示过滤器使用
3:常用的Ethernet过滤器
1:eth.addr==<>:显示具有指定MAC地址的数据帧
2:eth.src ==<>:显示具有指定源MAC地址的数据帧
3:eth.dst==<>:显示具有指定目的MAC地址的数据帧
4:eth.type==<>:显示指定以太网类型的流量
5:eth.dst==ffff.ffff.ffff:显示以太网广播帧
4:常见的IP过滤器
1:ip、ipv6
2:ip.addr==<>:显示发往或源自指定IP地址的数据包 ip.src、 ip.dst
192.168.1.1 192.168.1.0/24
3:ip.ttl==<>:显示IP包头TTL字段值为指定值的数据包 < 、>
4:ip.len==<>:显示指定长度的IP数据包 < 、>
5: ip.dst==224.0.0.0/4:显示发往组播地址的所有数ipv4据包
6:ipv6.dst==ff00::/8:显示发往组播地址的所有数ipv6据包
7:ip.version==<>:显示指定IP版本号的IP数据包
8:ipv6.addr=<>:显示发往或源自指定IPv6地址的数据包
5:TCP/UDP过滤器
1:tcp、udp
2:tcp.port==<>:显示指定的TCP端口的流量 tcp.dstport 、tcp.srcport
3:tcp.analysis :分析TCP性能有关参数
tcp.analysis.retransmission:显示重传的TCP数据包
tcp.analysis.duplicate_ack:显示确认多次的TCP数据包
tcp.analysis.zero_windows:显示含零窗口通告信息的TCP数据包
4:tcp.flags:检查数据包TCP头部中的标记位
tcp.flags.syn==1:显示syn置1的数据包
tcp.flags.reset==1:显示reset置1的数据包
tcp.flags.fin==1:显示fin置1的数据包
5:tcp.window_size_value < X:显示tcp头部窗口大小字段低于指定值得数据包
3
