之前一片文章介绍了Wireshark的过滤语法，这里从网上收集了一些wireshark过滤表达式实例   1、wireshark基本的语法字符 \d 0-9的数字 \D \d的补集（以所以字符为全集，下同），即所有非数字的字符 \w 单词字符，指大小写字母、0-9的数字、下划线 \W \w的补集 \s 空白字符，包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f \S \s的补集 . 除换行符\n外的任意字符。 在Perl中，“.”可以匹配新行符的模式被称作“单行模式” .* 匹配任意文本，不包括回车(\n)? 。 而，[0x00-0xff]* ...

这篇文章收集了一些wiresharkwireshark抓包以及看包的过滤语法 1.过滤IP，如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 //过滤源IP地址或者目标IP地址为192.168.1.107的包 或者 ip.addr eq 192.168.1.107 //过滤IP地址为192.168.1.107的包，能显示来源IP和目标IP   2.过滤端口 例子: tcp.port eq 80 // 过滤tcp端口为80的包，不管端口是来源的还是目标的都显示 tcp.port == 80 // 过滤tcp端口为80的包，不管端口是来源的还是目标的都显示 tcp.port eq 2722 // 过滤tcp端口为2722的包，不管端口是来源的还是目标的都显示 tcp.port eq 80 or udp.port eq 80 // 过滤端口为80的TCP和UDP包，不管端口是来源的还是目标的都显示 tcp.dstport == 80 // 只显tcp协议的目标端口80的包 tcp.srcport == 80 // 只显tcp协议的来源端口80的包 udp.port eq 15000 // 只显udp协议的端口80的包，不管端口是来源的还是目标的都显示 过滤端口范围 tcp.port >= 1 and tcp.port <= 80 //过滤tcp协议的端口在1~80范围内的包   3.过滤协议 例子: tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等 排除arp包，如 !arp 或者 not arp   4.过滤MAC 太以网头过滤 eth.dst == A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dst==A0:00:00:04:C5:84 // 过滤目标mac eth.dst==A0-00-00-04-C5-84 // 过滤目标mac...