转自:http://blog.csdn.net/hanyuxinting/article/details/5558095

过滤器语法
-------------------------------------------------------------

最简单的过滤允许你检查一个协议或者字段的存在:

  如果你想查看所有的使用IP协议的数据包,过滤器为“ip”(不带引号);

  想看所有包含Token-ring RIF字段的数据包,使用“tr.rif”;

  可以使用“exist”操作符来看一个协议或者字段是否存在。

注意:所有的协议和字段的名字可以在过滤器的参考中获得。

比较操作符
-------------------------------------------------------------

字段可以与值进行比较。比较操作符可以使用类似英语的简写,也可以使用c语言的字符。
eq,== 等于
ne,!= 不等于
gt,> 比...大
lt,< 比...小
ge,>= 大于等于
le,<= 小于等于

搜索比较操作符
-------------------------------------------------------------

另外还有一些操作符只能使用类英语简写,不能使用类c语言简写。
contains 判断一个协议,字段或者分片包含一个值
matches 判断一个协议或者字符串匹配一个给定的Perl表达式

“contains”操作符允许一个过滤器搜索一串字符,其形式为字符串,或者字节,或者字节组。例如在搜索一个HTTP URL地址,可以使用下面的过滤器:
http contains “http://www.wireshark.org”;
“contains”操作符不能被用于原子型的字段,比如数字和ip地址。

“matches ”操作符允许一个过滤器使用与Perl兼容的正则表达式(PCRE)。“matches” 操作符只能应用于协议或者字符串类型的协议字段。例如:搜索一个给定的wAP WSP User-Agent,你可以这样写过滤器:
wsp.user_agent matches "(?i)cldc"

函数
-------------------------------------------------------------
过滤器的语言还有下面几个函数:
upper(string-field)-把字符串转换成大写
lower(string-field)-把字符串转换成小写

upper((和lower((在处理大小写敏感的字符串比较时很有用。例如:
upper(ncp.nds_stream_name) contains "MACRO"
lower(mount.dump.hostname) =="angel"

协议字段类型
---------------------------------------------------------------
每个协议的字段都有规定的类型。这些类型是:
unsigned integer 无符号整数(8比特、16比特、24比特、32比特)
signed integer 有符号整数(8比特、16比特、24比特、32比特)
Boolean 布尔值
Ethernet address 以太网地址(6字节)
Byte array 字节数组
IPv4 address IPv4地址
IPv6 address IPv6地址
IPX network number IPX网络地址
Text string 文本串
Double-precision floating point number 双精度浮点值

一个整数可以有三种表示方法,十进制、八进制和十六进制。下面三个例子是相同的:

frame.pkt_len>10
frame.pkt_len>012
frame.pkt_len>0xa

布尔值不是true就是false.在测试一个布尔类型字段的显示过滤器中,"true"的值相当于1或者其它的非0值,"false"就是0。
例如:令牌环数据包中一个源路由字段是布尔型的.找到源路由的数据包,可以这样写显示过滤器:
tr.sr==1

非源路由数据包可以使用这样的过滤器:
tr.sr==0

以太网地址和字节数组使用十六进制表示.十六进制的数字可以被 ":" "." "-" 分隔。例如:

eth.dst eq ff:ff:ff:ff:ff:ff
aim.data == 0.1.0.d
fddi.src == aa-aa-aa-aa-aa-aa
echo.data == 7a

IPv4 地址可以被表示成点分十进制或者使用主机名表示。例如:

ip.dst eq www.mit.edu
ip.src == 192.168.1.1

IPv4地址之间可以和数字之间一样,使用关系符号比较:eq,ne,gt,ge,lt和le。IPv4地址按照主机顺序存储,这样当你在使用显示 过滤器的时候就不用担心IPv4地址的结束了。

当使用IPv4子网划分的时候,CIDR表示法也可以使用。例如:以下的过滤器可以找到所有129.111的数据包:
ip.addr==129.111.0.0/16

记住,斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名,例如C类网络中主机“sneezy”的IP地址。
ip.addr eq sneezy/24

wireshark 的使用(filter的用法)的更多相关文章

  1. 兼容ie8 rgba()用法 滤镜filter的用法

    原文  http://blog.csdn.net/westernranger/article/details/40836861 今天遇到了一个问题,要在一个页面中设置一个半透明的白色div.这个貌似不 ...

  2. Spring MVC中各个filter的用法

    转载:http://blog.csdn.net/qyp1314/article/details/42023725 Spring MVC中各个filter的用法 2014-12-19 09:08 105 ...

  3. springboot中filter的用法

    一.在spring的应用中我们存在两种过滤的用法,一种是拦截器.另外一种当然是过滤器.我们这里介绍过滤器在springboot的用法,在springmvc中的用法基本上一样,只是配置上面有点区别. 二 ...

  4. python基础===map, reduce, filter的用法

    filter的用法: 这还是一个操作表list的内嵌函数'filter' 需要一个函数与一个list它用这个函数来决定哪个项应该被放入过滤结果队列中遍历list中的每一个值,输入到这个函数中如果这个函 ...

  5. JS内置对象-Array之forEach()、map()、every()、some()、filter()的用法

    简述forEach().map().every().some()和filter()的用法 在文章开头,先问大家一个问题: 在Javascript中,如何处理数组中的每一项数据? 有人可能会说,这还不简 ...

  6. logstash filter grok 用法

    在elk+filebeat都安装好,且明白了基本流程后,主要的就是写logstash的filter了,以此来解析特定格式的日志 logstash的filter是用插件实现的,grok是其中一个,用来解 ...

  7. 高阶函数 map,reduce, filter的用法

    1. map 用法 def fun_C(x): """求平方""" return x ** 2 result = map(fun_C, my ...

  8. reduce,map,filter 的用法

    # filter用法 (对每一个数据进行筛选,满足条件的就保留)# 1,filter(功能函数,容器类型数据)# 2,过滤出来是一个地址,用list,或tuple进行包装# 3,过滤出来的是原容器类型 ...

  9. js中filter过滤用法总结

    定义和用法 filter() 方法创建一个新的数组,新数组中的元素是通过检查指定数组中符合条件的所有元素. 注意: filter() 不会对空数组进行检测. 注意: filter() 不会改变原始数组 ...

随机推荐

  1. Loj10094 消息的传递

    题目描述 我们的郭嘉大大在曹操这过得逍遥自在,但是有一天曹操给了他一个任务,在建邺城内有 NNN 个袁绍的奸细,将他们从 111 到 NNN 进行编号,同时他们之间存在一种传递关系,即若Ci,j=1C ...

  2. Codeforces Round #288 (Div. 2) B. Anton and currency you all know 贪心

    B. Anton and currency you all know time limit per test 0.5 seconds memory limit per test 256 megabyt ...

  3. BZOJ 1500: [NOI2005]维修数列 (splay tree)

    1500: [NOI2005]维修数列 Time Limit: 10 Sec  Memory Limit: 64 MBSubmit: 4229  Solved: 1283[Submit][Status ...

  4. [Winform]使用winform制作远程桌面管理工具

    摘要 突然在园子里看到一篇远程连接的文章,觉得挺好玩的,就自己尝试能不能自己制作一个可以管理多台远程连接的工具,说做就做.当然这样的管理工具已经很多,纯粹是为了好玩,采用winform做的. 资料 首 ...

  5. CSerialPort串口类最新修正版(解决关闭死锁问题)

    这是一份优秀的类文件,好多的地方值得我们学习,具体在多线程,事件,自定义消息,类的封装方面等等.Remon提供的串口类网址为:http://codeguru.earthweb.com/network/ ...

  6. Linux内核相关常见面试题

      转:http://www.embeddedlinux.org.cn/html/xinshourumen/201303/11-2475.html   本文详细阐述了linux内核相关的开发职位面试中 ...

  7. merge into优化sql(转)

    使用Merge INTO优化SQL,性能提升巨大 分类: Oracle 2017-04-13 10:55:07   说说背景:开发有个需求,需要对新加的一个字段根据特定的业务逻辑更新数据.TPS_TR ...

  8. JavaScript对于函数的调用及原理

    <js> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>< ...

  9. iptables只允许指定ip地址访问指定端口

    首先,清除所有预设置 iptables -F#清除预设表filter中的所有规则链的规则 iptables -X#清除预设表filter中使用者自定链中的规则 其次,设置只允许指定ip地址访问指定端口 ...

  10. Mantis邮件服务器配置

    1.在apache下的php.ini中修改(这里是以163的邮箱为例子):[mail function];For Win32 only.SMTP = smtp.163.com; //设置邮箱的发送地址 ...