显示过滤器
语法
■比较操作符:==( eq ) !=( neq ) >大于( gt ) <小于( It ) >=大于等于( ge ) <=小于等于( le )
■逻辑操作符: and (&&)与 or (||) 或 not 非
■ IP 地址过滤: ip . addr ip . src ip . dst
■端口过滤: tcp . port udp . port tcp . dstport tcp . flag . syn tcp . flag . ack
■协议过滤: arp ip udp tcp icmp http
举例
■显示源 IP 等于192.168.18.14并且 tcp 端口为443
ip . src == 192.168.18.14 and tcp . port == 443
■显示源不为192.168.18.14或者目的不为202.98.96.68的
ip . src != 192.68.18.14 or ip . dst !=202.98.96.68
案例
1、开启 wireshark 抓包,抓取所有的报文,然后去访问一个 HTTP 的网站
2、过滤 DNS 的报文,找到对应的域名解析报文
3、根据 DNS 返回的 IP 地址,找到主机与服务器的 TCP 交互过程
4、找到客户机请求服务器的 HTTP 报文,追踪 HTTP 流情况
