显示过滤器

语法

■比较操作符：==( eq ) !=( neq ) ＞大于（ gt ) ＜小于（ It ) >=大于等于（ ge ) <=小于等于（ le )

■逻辑操作符： and (&&）与 or (||) 或 not 非

■ IP 地址过滤： ip . addr ip . src ip . dst

■端口过滤： tcp . port udp . port tcp . dstport tcp . flag . syn tcp . flag . ack

■协议过滤： arp ip udp tcp icmp http

举例

■显示源 IP 等于192.168.18.14并且 tcp 端口为443

ip . src == 192.168.18.14 and tcp . port == 443

■显示源不为192.168.18.14或者目的不为202.98.96.68的

ip . src != 192.68.18.14 or ip . dst !=202.98.96.68

案例

1、开启 wireshark 抓包，抓取所有的报文，然后去访问一个 HTTP 的网站

2、过滤 DNS 的报文，找到对应的域名解析报文

3、根据 DNS 返回的 IP 地址，找到主机与服务器的 TCP 交互过程

4、找到客户机请求服务器的 HTTP 报文，追踪 HTTP 流情况