Wireshark常见关系操作符
常见关系操作符
| 关系操作符 | 简写 | 说明 | 举例 |
|---|---|---|---|
| == | eq | 等于 | eth.addr==12:34:56:78:90:laip.src eq 192.1.1.254 |
| != | nq | 不等于 | ip.src!=192.1.1.254ip.src ne 192.1.1.254 |
| > | gt | 大于 | tcp.port>1024tcp.port gt 1024 |
| < | lt | 小于 | tcp.port <1024tcp.port lt 1024 |
| >= | gt | 大于等于 | tcp.port >=1024tcp.port ge 1024 |
| <= | le | 小于等于 | tcp.port<=1024tcp.port le 1024 |
常见逻辑操作符
| 逻辑操作符 | 简写 | 说明 | 举例 |
|---|---|---|---|
| && | and | 逻辑与 | eth.addr==12:34:56:78:90:la and ip.src==192.168.1.1eth.addr==12:34:56:78:90:la && ip.src==192.168.1.1MAC帧的源或目的MAC地址等于12:34:56:78:90:la且MAC帧封装IP分组的源IP等于192.168.1.1 |
| or | or | 逻辑或 | eth.addr==12:34:56:78:90:la or ip.src==192.168.1.1MAC帧的源或目的MAC地址等于12:34:56:78:90:la或者MAC帧封装IP分组的源IP等于192.168.1.1 |
| ! | not | 逻辑非 | !eth.addr==12:34:56:78:90:la或者源MAC地址不等于12:34:56:78:90:la或者目的MAc不等于12:34:56:78:90:la |
关系表达式
| 关系表达式 | 说明 |
|---|---|
| eth.addr==MAC地址 | 源或目的MAC地址等于指定MAC地址的MAC帧MAC地址格式为 xx;xx:xx;xxxx;xx,其中x为十六进制数 |
| eth.src== MAC地址 | 源MAC地址等于指定MAC地址的MAC锁 |
| eth.dst==MAC地址 | 目的MAC地址等于指定MAC地址的MAC顿 |
| eth.type=格式为0xnnnn的协议类型字段值 | 协议类型字段值等于指定4位十六进制数的MAC |
| ip.addr==IP地址 | 源或目的IP地址等于指定IP地址的IP分组 |
| ip.src==IP地址 | 源IP地址等于指定IP地址的 IP 分组 |
| ip.dst==IP地址 | 目的IP地址等于指定IP地址的IP分组 |
| ip.ttl==值 | ttl字段值等于指定值的IP 分组 |
| ip.version==4/6 | 版本字段值等于4或6的IP分组 |
| tcp.port==值 | 源或目的端口号等于指定值的TCP报文 |
| udp.srcport== 值 | 源端口号等于指定值的UDP报文 |
| udp.dstport== 值 | 目的端口号等于指定值的UDP报文 |