取消
显示结果 
搜索替代 
您的意思是: 
cancel
4923
查看次数
0
有帮助
5
评论
suzhouxiaoniu
Spotlight
Spotlight
1:使用系统自带的过滤器
070856q4d3xdxhk6kr36xr.jpg
2:选择数据包中的字段作为显示过滤器使用
070945obfeczswxznwlvfp.jpg
3:常用的Ethernet过滤器
1:eth.addr==<>:显示具有指定MAC地址的数据帧
2:eth.src ==<>:显示具有指定源MAC地址的数据帧
3:eth.dst==<>:显示具有指定目的MAC地址的数据帧
4:eth.type==<>:显示指定以太网类型的流量
5:eth.dst==ffff.ffff.ffff:显示以太网广播帧
4:常见的IP过滤器
1:ip、ipv6
2:ip.addr==<>:显示发往或源自指定IP地址的数据包 ip.src、 ip.dst
192.168.1.1 192.168.1.0/24
3:ip.ttl==<>:显示IP包头TTL字段值为指定值的数据包 < 、>
4:ip.len==<>:显示指定长度的IP数据包 < 、>
5: ip.dst==224.0.0.0/4:显示发往组播地址的所有数ipv4据包
6:ipv6.dst==ff00::/8:显示发往组播地址的所有数ipv6据包
7:ip.version==<>:显示指定IP版本号的IP数据包
8:ipv6.addr=<>:显示发往或源自指定IPv6地址的数据包
5:TCP/UDP过滤器
1:tcp、udp
2:tcp.port==<>:显示指定的TCP端口的流量 tcp.dstport 、tcp.srcport
3:tcp.analysis :分析TCP性能有关参数
tcp.analysis.retransmission:显示重传的TCP数据包
tcp.analysis.duplicate_ack:显示确认多次的TCP数据包
tcp.analysis.zero_windows:显示含零窗口通告信息的TCP数据包
4:tcp.flags:检查数据包TCP头部中的标记位
tcp.flags.syn==1:显示syn置1的数据包
tcp.flags.reset==1:显示reset置1的数据包
tcp.flags.fin==1:显示fin置1的数据包
5:tcp.window_size_value < X:显示tcp头部窗口大小字段低于指定值得数据包
3
评论
one-time
Level 13
Level 13
感谢小牛老师的分享,如分享内容为原创,请在标题中添加【原创】标签,谢谢~
suzhouxiaoniu
Spotlight
Spotlight
管理员 发表于 2019-6-17 14:09
感谢小牛老师的分享,如分享内容为原创,请在标题中添加【原创】标签,谢谢~

是的,已加,感谢提醒
Yuan Li
Spotlight
Spotlight
感谢老师的分享,赞!!!
zzq2695
Spotlight
Spotlight
总结的很好!经常用,但没有系统总结过!收藏了!谢谢!补充几点:
1、捕获过滤中的关键字“host”、“net”,不能用在显示过滤中;
2、简单表达式时,关键字之间的 操作符 用空格隔开后可读性好;
3、复杂表达式时,逻辑符之间用空格隔开效果较好。
4、对UDP报文特定字段的筛选:udp contains "abc"
5、更多参考:https://wiki.wireshark.org/DisplayFilters
sh666666
Level 10
Level 10
收藏谢谢!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接