1、首先我们在wireshark抓到数据包的前提下,在Filter处讲解基于以太网数据头的MAC进行过滤的表达式写法。首先介绍命令:eth.addr eq e0:db:55:8e:8d:dd。查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包。
2、介绍过滤表达式:eth.src eqe0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包。
3、介绍表达式:eth.dst eqe0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。
4、介绍表达式:eth.addr lt e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC以及目的MAC小于e0:db:55:8e:8d:dd的数据包。备注:在表达式处写法支持:等于--写法为 eq 或者==;小于--写法为 lt ;大于--写法为 gt ;小于或等于--写法为 le;大于或者等于--写法为 ge;不等 ---写法为 ne;本篇实例采用了lt表示小于。
5、下面我们介绍居于数据包的长度进行过滤。首先介绍表达式:udp.length ==95,表示查询出来udp协议的数据包,且数据包长度为95的数据包。备注:此处udp数据包长度+ip头部长度(20)+以太网头部(14)=整体数据包的长度。
6、介绍表达式:tcp.len >= 29,代表查询出来tcp协议的数据包,且包长度大于等于29的数据包。备注:此处tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度。
7、介绍表达式:ip.len eq 41。表示查询ip数据包,且包长度为41的数据包。备注:此处ip数据包长度+以太网头(14)=整体数据包长度。
8、介绍表达式:frame.len eq 55。表示查询出来整体包长度为55的数据包。
9、整体介绍包长度表达式中间eq还可换成lt(小于),le(小于等于),gt(大于),ge(大于等于),ne(不等于)。
