wiresharkmac过滤规则

A. 抓包wireshark获取的怎么都是qq服务器mac

: wireshark只能截获本机或通过本机监听网卡的数据包,用过滤器筛选出发往腾讯的包…剩下就自己找了

B. wireshark 怎么设置过滤规则

方法复/步骤

1过滤制源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；

2端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；

3协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议；

4

http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"；

5

连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8
and http。

C. wireshark 抓包怎么过滤多mac地址

启动wireshark，选择网卡，开始抓包 在过滤里面输入oicq 就把QQ的包都过滤出来了 按照源和回目的地址的区分答，可以且仅可以分析出你抓包对象的QQ号码 QQ现在使用密文发送，抓不出来聊天的内容了

D. 十万火急，wireshark ip过滤规则和端口过滤规则。着急用啊

1.过滤IP，如来源IP或者目标IP等于某个IP

例子:
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者
ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
linux上运行的wireshark图形窗口截图示例，其他过虑规则操作类似，不再截图。
ip.src eq 10.175.168.182
2.过滤端口

例子:
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
过滤端口范围

tcp.port >= 1 and tcp.port <= 80

E. wireshark要设置什么规则才能只显示三次握手协议中的RST包过滤规则该怎么写

过滤RST报文：tcp.flags.reset == 1
RST不属于三次握手，这个涉及到状态转移，不知道支不支持

F. wireshark 可以过滤mac吗

http://jingyan..com/article/4b52d702af64aefc5c774be0.html

G. wireshark过滤规则

ip.src==192.168.1.99 && ip.dst==192.168.1.96 && (tcp,port==80 || udp.port==80) 大致这样，如果你需要是哪个傻瓜式的分析软件，可以试试QPA，他是基内于进程抓包的，并且筛选功容能很傻瓜，直接输入关键字即可

H. wareshark 怎么用mac过滤

首先我们在wireshark抓到数据包的前提下，在Filter处讲解基于以太网数据头的MAC进行过滤的表达式写法。首先介绍命令：eth.addr eq e0:db:55:8e:8d:dd。查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包。

介绍过滤表达式:eth.src eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包。

介绍表达式:eth.dst eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。

介绍表达式:eth.addr lt e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC以及目的MAC小于e0:db:55:8e:8d:dd的数据包。
备注：在表达式处写法支持:等于--写法为 eq 或者==；
小于--写法为 lt ；
大于--写法为 gt ;
小于或等于--写法为 le；
大于或者等于--写法为 ge；
不等 ---写法为 ne；
本篇实例采用了lt表示小于。

下面我们介绍居于数据包的长度进行过滤。首先介绍表达式:udp.length ==95,表示查询出来udp协议的数据包，且数据包长度为95的数据包。
备注：此处udp数据包长度+ip头部长度（20）+以太网头部（14）=整体数据包的长度。

介绍表达式:tcp.len >= 29，代表查询出来tcp协议的数据包，且包长度大于等于29的数据包。
备注：此处tcp数据包长度+tcp头部（20）+ip头部(20)+以太网头部（14）=整体数据包长度。

介绍表达式:ip.len eq 41。表示查询ip数据包，且包长度为41的数据包。
备注:此处ip数据包长度+以太网头(14)=整体数据包长度。

介绍表达式:frame.len eq 55。表示查询出来整体包长度为55的数据包。

整体介绍包长度表达式中间eq还可换成lt(小于)，le（小于等于）,gt(大于),ge（大于等于），ne(不等于)。

I. wireshark 如何写过滤规则

一、IP过滤：包括来源IP或者目标IP等于某个IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：
比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者 not ssl

四、包长度过滤：
比如：
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-e.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)