我想知道如何在wireshark中为ip-port制作显示过滤器。
所以,例如我想过滤ip-port 10.0.0.1:80,所以它会找到与10.0.0.1:80之间的所有通信,但不能从10.0.0.1:235到端口上的某些ip进行通信80。
答案 0 :(得分:15)
我想过滤掉任何支持端口的协议的ip-port对。无论是tcp还是udp。 ip-por对可以在任何端口上与任何其他ip联系。
(ip.src == XXX.XXX.XXX.XXX && (tcp.srcport == YYY || udp.srcport == YYY)) || (ip.dst == XXX.XXX.XXX.XXX && (tcp.dstport == YYY || udp.dstport == YYY)将匹配:
听起来好像是你想要的。 (如果不是你想要的,你必须更加具体和准确地了解你想要的东西。)
答案 1 :(得分:2)
试试这个过滤器:
(ip.src==10.0.0.1 and tcp.srcport==80) or (ip.dst==10.0.0.1 and tcp.dstport==80)
由于tcp / ip数据包中有两个端口和两个IP,因此需要准确指定所需的源和目标套接字。
答案 2 :(得分:1)
IP协议没有定义类似端口的东西。 IP之上的两个协议具有端口TCP和UDP。
如果您只想显示从一侧的端口80发送到另一侧的端口80的TCP连接数据包,您可以使用此显示过滤器:
tcp.srcport==80 && tcp.dstport==80
类似地,您可以为UDP通信定义过滤器。您可以使用
等附加条件缩小过滤器的范围ip.srcaddr==1.2.3.4
或
ip.addr==55.66.77.88
你甚至可以使用C风格的操作符&&和||以及用于构建复杂过滤器的括号。
(ip.addr==128.100.1.1 && tcp.port==80) || (ip.addr==10.1.2.1 && udp.port==68)
您实际想要过滤的是您的决定。