参考资料:
① https://wiki.wireshark.org/CaptureFilters
② https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
规则部分
一个过滤规则包含一组原始表达式,每个表达式用 and 或 or 这类关键词连接:
[not] 表达式 [and|or [not] 表达式 …]
捕获与指定地址之间的 telnet 通信数据包
tcp port 23 and host 10.0.0.5
这个示例展示了与IP 10.0.0.5之间的 telnet 通信数据包的捕获过滤规则。
捕获所有不是来自于10.0.0.5的通信数据包
tcp port 23 and not src host 10.0.0.5
[src|dst] host <host>
此表达式允许你对你与目标主机IP地址或域名之间的通信进行筛选。你可以在表达式前加上 src 或者 dst 以表示你希望捕获是来源于对象还是发送到对象的数据包;如果不加,则你与你设定的对象的所有通信数据包都会被捕获。
ether [src|dst] host <ehost>
此表达式允许你与以太网上的目标主机之间的通信进行筛选。你可以在 ether 和 host 加上关键字 src 或者 dst,同上。
gateway host <host>
此表达式允许捕获你与作为网关的目标主机之间的通信,即以太网通信的主机,不是IP通信。
[src|dst] net <net> [{mask <mask>}|{len <len>}]
此表达式允许你筛选网络号(network numbers),另外,如果与你的网络不同也可以指定掩码和CIDR前缀。
[tcp|udp] [src|dst] port <port>
此表达式允许你筛选TCP与UDP协议及端口号,如果不作指定将默认捕获所有符合条件的数据包。
less|greater <length>
此表达式允许你根据数据包的长度进行过滤。