Wireshark的封包過濾器(display filter)範例

Wireshark可以在界面上設定封包過濾條件，不過這是將所有收進來的封包過濾後顯示出來,所以稱為Display Filter，實際上Wireshark背後還是收了非常多資料，所以不建議抓太久，wireshark抓太多資料常常會當機，因為GUI繪圖會來不及

基本邏輯

and

&&

||

等於與不等於

==
!=

not

! ( ip.addr == 10.43.54.65 )

包含內容

sip.To contains "string"

matches

http.request.uri matches "gl=sequot;

限制IP層的目的地主機為10.11.12.13

ip.dst_host==10.11.12.13

抓一般TCP 80 port的封包(http web server)

tcp.port eq 80

多個條件

ip.addr==10.129.193.37 || ip.addr==10.129.193.27

可以不用括號,不過執行結果順序不太清楚

http && ip.src==192.168.1.4

可以用括號

udp && (ip.dst_host==10.129.193.27)

包含byte順序0x010104的tcp封包

tcp contains 01:01:04

查看MPEG TS的PAT

mp2t.pid==0x0

裏面會寫PMT有幾個,他的PID是多少

假設PMT是0x500，則設定來找出PMT

mp2t.pid==0x500

查某個PID的PTS封包

mp2t.pid==0x201 && mpeg-pes.pts_flag==1