wireshark常用过滤命令

1.过滤IP

#过滤源IP及目的的IP
ip.addr == 192.168.1.1

#过滤出目的IP
ip.dst_host == 192.168.1.1

#过滤源IP
ip.src_host == 192.168.1.1

2.过滤端口

#过滤源端口与目的的80端口
tcp.port == 80

#过滤目的端口
tcp.dstport == 80

#过滤源端口
tcp.srcport == 80

3.协议过滤

#直接在Filter框中输入协议名称即可，如过滤HTTP的协议；
tcp	udp	arp	icmp	http	smtp	ftp	dns	msnms	ip	ssl	oicq	bootp

4.http模式过滤

#过滤get包
http.request.method == "GET"

#过滤post包
http.request.method == "POST"

5.过滤mac地址

#过滤目标mac
eth.dst == A0:00:00:04:C5:84

#过滤来源mac
eth.src eq A0:00:00:04:C5:84

#过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的数据包
eth.addr eq A0:00:00:04:C5:84

6.连接符and的使用

#过滤IP为192.168.1.1并且为http的协议
ip.src == 192.168.1.1 and http

参考：https://www.jianshu.com/p/c9e74bfd3e25