2023年7月3日发(作者：)

抓包⼯具之wireshark常⽤过滤表达式⼀、针对IP地址过滤  针对wireshark最常⽤的⾃然是针对IP地址的过滤。其中有⼏种情况：（1）对源地址为192.168.0.1的包的过滤，即抓取源地址满⾜要求的包。　　 表达式为： == 192.168.0.1（2）对⽬的地址为192.168.0.1的包的过滤，即抓取⽬的地址满⾜要求的包。　　 表达式为： == 192.168.0.1（3）对源或者⽬的地址为192.168.0.1的包的过滤，即抓取满⾜源或者⽬的地址的ip地址是192.168.0.1的包。　　 表达式为： == 192.168.0.1,或者 == 192.168.0.1 or == 192.168.0.1（4）过滤地址段。表达式为： == 192.168.0.0/24（5）要排除以上的数据包，我们只需要将其⽤括号囊括，然后使⽤ “!” 即可。　　 表达式为：!(表达式)⼆、针对协议的过滤（1）仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输⼊即可。表达式为：http（2）需要捕获多种协议的数据包，也只需对协议进⾏逻辑组合即可。　　 表达式为：http or telnet （多种协议加上逻辑符号的组合即可）（3）排除某种协议的数据包　　 表达式为：not arp !tcp三、针对端⼝的过滤（视协议⽽定）（1）捕获某⼀端⼝的数据包　　 表达式为： == 80（2）捕获多端⼝的数据包，可以使⽤and来连接，下⾯是捕获⾼端⼝的表达式　　 表达式为： >= 2048四、针对长度和内容的过滤（1）针对长度的过虑（这⾥的长度指定的是数据段的长度）　　 表达式为： < 30 t_length <=20（2）针对数据包内容的过滤　　　　 表达式为： matches “vipscu” （匹配http请求中含有vipscu字段的请求信息）