网络分析工具Wireshark使用教程(8)

发表于:2012-12-20来源:博客园作者:Observer点击数: 标签:Wireshark
ip.addr == 10.1.1.1 显示来源或目的IP地址为10.1.1.1的封包。 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。 换句话说,显示的

ip.addr == 10.1.1.1

  显示来源或目的IP地址为10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

  显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

  换句话说,显示的封包将会为:

  来源IP:除了10.1.2.3以外任意;目的IP:任意

  以及

  来源IP:任意;目的IP:除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

  显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

  换句话说,显示的封包将会为:

  来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意

tcp.port == 25

显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25

显示目的TCP端口号为25的封包。

tcp.flags

显示包含TCP标志的封包。

tcp.flags.syn == 0x02

显示包含TCP SYN标志的封包。

  如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

表达式正确

表达式错误

原文转自:http://www.ltesting.net