Wireshark 过滤表达式

- 首先说几个最常用的关键字，“eq” 和 “==”等同，可以使用 “and” 表示并且，“or”表示或者。“!" 和 "not” 都表示取反。

- 针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：
  1. 对源地址为192.168.0.1的包的过滤，即抓取源地址满足要求的包。
  ```
ip.src == 192.168.0.1
  ```
  2. 对目的地址为192.168.0.1的包的过滤，即抓取目的地址满足要求的包。
  ```
ip.dst == 192.168.0.1
  ```
  3. 对源或者目的地址为192.168.0.1的包的过滤，即抓取满足源或者目的地址的ip地址是192.168.0.1的包。
  ```
ip.addr == 192.168.0.1,或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
  ```
  4. 要排除以上的数据包，我们只需要将其用括号囊括，然后使用 "!" 即可。
  ```
!(表达式)
  ```

- 针对协议的过滤
  1. 仅仅需要捕获某种协议的数据包，表达式很简单仅仅需要把协议的名字输入即可。
  ```
http
  ```
2. 需要捕获多种协议的数据包，也只需对协议进行逻辑组合即可。
  ```
http or telnet （多种协议加上逻辑符号的组合即可）
  ```
  3. 排除某种协议的数据包
　```
not arp      !tcp
  ```
- 针对端口的过滤（视协议而定）
  1. 捕获某一端口的数据包
　```
tcp.port == 80
  ```
  2. 捕获多端口的数据包，可以使用and来连接，下面是捕获高端口的表达式
  ```
udp.port >= 2048
  ```

- 针对长度和内容的过滤
  1. 针对长度的过虑（这里的长度指定的是数据段的长度）
　```
udp.length < 30   http.content_length <=20
  ```
  2. 针对数据包内容的过滤
　```
http.request.uri matches "vipscu"  （匹配http请求中含有vipscu字段的请求信息）
 ```

## 引用文章
[wireshark 实用过滤表达式（针对ip、协议、端口、长度和内容）](https://blog.csdn.net/a2657222/article/details/7820036)