Wireshark 过滤语法
检查协议或字段是否存在
如果你想检查协议或字段是否存在,最简单的过滤器规则就是直接填写协议或字段信息。
例如,如果你想查看所有包含 IP 协议的数据包,过滤器将为 ip;要查看包含令牌环 RIF 字段的所有数据包,请使用 tr.rif。
比较运算符
字段还可以与值进行比较。比较运算符可以通过类似英语的缩写或类似 C 语言的符号来表示:
| 英文风格 | C语言风格 | 含义 |
|---|---|---|
| eq | == | 等于(Equal) |
| ne | != | 不等于(Not Equal) |
| gt | > | 大于(Greater Than) |
| lt | < | 小于(Less Than) |
| ge | >= | 大于等于(Greater than or Equal to) |
| le | <= | 小于等于(Less than or Equal to) |
示例
过滤 UDP 端口为 51180 的包
udp.port == 51180