1.过滤IP
ip.src eq 192.168.1.1 请求端IP
ip.dst eq 192.168.1.1 服务端IP
ip.addr eq 192.168.1.1 不区分
2.过滤端口
tcp.srcport == 80 请求端端口
tcp.dstport == 80 服务端端口
tcp.port == 8080 不区分
3.过滤MAC
eth.src== ff:ff:ff:ff:ff:ff 请求端MAC
eth.dst== ff:ff:ff:ff:ff:ff 服务端MAC
eth.addr == ff:ff:ff:ff:ff:ff 不区分
4.过滤协议
tcp,http,udp,arp,icmp,smtp,ftp,dns,msnms,ip,ssl,oicq,bootp
5.包长过滤
udp.length == 100 udp本身固定长度8加上udp下面那块数据包之和
tcp.len ==100 tcp下面那块数据,不包括tcp本身
ip.len ==100 除了以太网头固定长度14,即从ip本身到最后
frame.len ==100 整个数据包长度
6.http过滤
http.request.method == "POST" 请求类型
http.request.uri == "/img/logo.png" 请求地址
http contains "HTTP/1." 包含
7.过滤内容
eth.addr[offset] 获取mac中offset开始,取1个字符,
eth.addr[offset:] 获取mac中offset开始,取1个以上字符,
eth.addr[offset:n] 获取mac中offset开始,取n个字符,
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
