1、地址过滤:
ip.src==
ip.dst==
(1)查找源地址为192.168.1.15的包,输入 ip.src==192.168.1.15
(2)查找目的地址为192.168.1.15的包,输入 ip.dst==192.168.1.15
2、协议过滤:
需要过滤HTTP协议的数据包,直接在搜索框内输入 HTTP,回车即可;
3、端口过滤:
tcp.port==
需要过滤502端口的数据包,直接在搜索框内输入 tcp.port==502,回车即可。
还可以区分源、目的如:
tcp.srcport==
tcp.dstport==
4、流过滤:
tcp.stream eq 2
需要过滤第二条流,就在搜索框内直接输入tcp.stream eq 2。回车即可。
同时过滤第二条和第四条流,输入tcp.stream eq 2 || tcp.stream eq 4 ;使用“||”符合。
5、条件且关系:and
使用and代表两个搜索条件为且的关系,即条件同时成立,如搜索源地址为192.168.1.15的http协议报文包,输入 ip.src==192.168.1.15 and http
6、条件或关系:or
使用or代表两个条件为或关系,即条件有一个成功即可,如搜索源地址,或者目的地址为192.168.1.15的数据包,输入ip.src==192.168.1.15 or ip.dst==192.168.1.15 回车即可;
7、取反:“!" 和 "not” 都表示取反;
如搜索不包含源地址为192.168.1.15的数据包,输入! ip.src==192.168.1.15 回车即可。
8、根据固定字符串查找
按Ctrl + F 后,在第二列直接输入想查找的字符串,回车即可。
注意切换英文输入法。
