1、抓包过滤器语法和实例

   抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

  比较简单，直接在抓包过滤框中直接输入协议名即可。

  TCP，只显示TCP协议的数据包列表

  HTTP，只查看HTTP协议的数据包列表

  ICMP，只显示ICMP协议的数据包列表

（2）IP过滤

  host 192.168.1.104

  src host 192.168.1.104

  dst host 192.168.1.104

（3）端口过滤

  port 80

  src port 80

  dst port 80

（4）逻辑运算符&& 与、|| 或、！非

  src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

  host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

  ！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

  比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

  比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

  tcp，只显示TCP协议的数据包列表

  http，只查看HTTP协议的数据包列表

  icmp，只显示ICMP协议的数据包列表

（3） ip过滤

   ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

   ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

   ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

（4）端口过滤

  tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

  tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

  tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

  http.request.method=="GET",   只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

  过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

参考wireshark抓包新手使用教程 - jack_Meng - 博客园 (cnblogs.com)