二層顯示過(guò)濾：

　　eth.addr==<MAC Address>:只顯示具有指定mac地址

　　eth.src==<MAC Address>:只顯示具有指定源MAC地址的數(shù)據(jù)幀

　　eth.dst==<MAC Address>:只顯示具有指定的MAC地址的數(shù)據(jù)幀

　　eth.type==<protocol type （十六進(jìn)制，格式0xNNNN）>：值顯示指定以太網(wǎng)類型的流量

ARP顯示過(guò)濾：

　　arp.opcode==<value>：只顯示指定類型的ARP幀（ARP幀按其所含操作碼字段值，可分為ARP應(yīng)打幀、回應(yīng)幀、RARP應(yīng)打幀、響應(yīng)幀)

　　arp.src.hw_mac==<MAC Address>：只顯示由指定MAC地址的主機(jī)發(fā)出的ARP幀

IP顯示過(guò)濾：

　　ip.addr==<IP Address>：只顯示發(fā)往或源自設(shè)有指定IP地址的主機(jī)數(shù)據(jù)包

　　ip.src==<IP Address>:只顯示由設(shè)有指定ip的主機(jī)發(fā)出的數(shù)據(jù)包

　　ip.dst==<IP Address>:只顯示發(fā)往設(shè)有指定ip地址主機(jī)的數(shù)據(jù)包

　　ip.ttl==<value>、ip.ttl<value>或ip.ttl><value>：只顯示ip包頭中TTl字段值為指定值的數(shù)據(jù)包

　　ip.len==<value>、ip.len><value>或ip.len<<value>：只顯示指定長(zhǎng)度的ip數(shù)據(jù)包（包頭中有一個(gè)2字節(jié)總長(zhǎng)度的字段）

　　ip.version==<4/6>：只顯示具有指定ip版本號(hào)的ip數(shù)據(jù)包

TCP/UDP顯示過(guò)濾：

　　tcp.port==<value>或udp.port==<value>:只顯示根據(jù)指定的TCP或UDP目的端口號(hào)來(lái)篩選

　　tcp.dstport==<value>或udp.dstport==<value>:只顯示根據(jù)指定的TCP/UDP目的端口號(hào)來(lái)篩選的數(shù)據(jù)包

　　tcp.srcport==<value>或udp.srcport==<value>：只顯示根據(jù)指定的TCP/UDP源于端口號(hào)篩選的數(shù)據(jù)包

　　UDP：頭部結(jié)構(gòu)非常簡(jiǎn)單，只包含源/目端口號(hào)字段，數(shù)據(jù)包長(zhǎng)度字段，以及效驗(yàn)和字段，因此，對(duì)于UDP數(shù)據(jù)包而言，最重要的特點(diǎn)就是源、目端口號(hào)。

　　TCP：頭部截然不同，因?yàn)門(mén)CP是一種面向連接的協(xié)議，內(nèi)置有可靠的傳輸機(jī)制，所以TCP頭部要比UDP頭部復(fù)雜的很多，不過(guò)Wirshark完全能夠理解TCP所具備的面向連接以及可靠性保證等機(jī)制，wireshark提供了tcp.flags、tcp.analysis等諸多功能強(qiáng)大的涉及TCP的顯示過(guò)濾參數(shù)，只要運(yùn)用得當(dāng)，發(fā)現(xiàn)并解決TCP性能問(wèn)題（比如，TCP重傳、重復(fù)確認(rèn)、零窗口等問(wèn)題）或運(yùn)作問(wèn)題（TCP半開(kāi)連接，會(huì)話重置等問(wèn)題）自然不再話下。

　　tcp.analysis:可用參數(shù)來(lái)作為分析與TCP重傳、重復(fù)確認(rèn)、窗口大小有關(guān)的網(wǎng)絡(luò)性能問(wèn)題的參照物。在這一過(guò)濾參數(shù)名下，還包含多個(gè)子參數(shù)（可在Filter輸入欄內(nèi)，借助自動(dòng)補(bǔ)齊特性，來(lái)獲取參數(shù)名下完整的子參數(shù)列表）

　　tcp.analysis.retansmission:用來(lái)顯示重傳的TCP數(shù)據(jù)包

　　tcp.analysi.duplicate_ack:用來(lái)顯示確認(rèn)多次的TCP數(shù)據(jù)包

　　tcp.analysis.zero_window：用來(lái)顯示含零窗口通告信息的TCP的數(shù)據(jù)包（TCP會(huì)話一端的主機(jī)通過(guò)此類TCP數(shù)據(jù)包，向?qū)Χ酥鳈C(jī)報(bào)告，本機(jī)TCP窗口為0，請(qǐng)貴機(jī)停止通過(guò)該會(huì)話發(fā)送數(shù)據(jù)）

　　

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/xiaowie/p/10136592.html

總結(jié)

以上是生活随笔為你收集整理的Wirshark 显示过滤器的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。