轉自:http://blog.csdn.net/hanyuxinting/article/details/5558095
過濾器語法
-------------------------------------------------------------
最簡單的過濾允許你檢查一個協議或者字段的存在:
如果你想查看所有的使用IP協議的數據包,過濾器為“ip”(不帶引號);
想看所有包含Token-ring RIF字段的數據包,使用“tr.rif”;
可以使用“exist”操作符來看一個協議或者字段是否存在。
注意:所有的協議和字段的名字可以在過濾器的參考中獲得。
比較操作符
-------------------------------------------------------------
字段可以與值進行比較。比較操作符可以使用類似英語的簡寫,也可以使用c語言的字符。
eq,== 等於
ne,!= 不等於
gt,> 比...大
lt,< 比...小
ge,>= 大於等於
le,<= 小於等於
搜索比較操作符
-------------------------------------------------------------
另外還有一些操作符只能使用類英語簡寫,不能使用類c語言簡寫。
contains 判斷一個協議,字段或者分片包含一個值
matches 判斷一個協議或者字符串匹配一個給定的Perl表達式
“contains”操作符允許一個過濾器搜索一串字符,其形式為字符串,或者字節,或者字節組。例如在搜索一個HTTP URL地址,可以使用下面的過濾器:
http contains “http://www.wireshark.org”;
“contains”操作符不能被用於原子型的字段,比如數字和ip地址。
“matches ”操作符允許一個過濾器使用與Perl兼容的正則表達式(PCRE)。“matches” 操作符只能應用於協議或者字符串類型的協議字段。例如:搜索一個給定的wAP WSP User-Agent,你可以這樣寫過濾器:
wsp.user_agent matches "(?i)cldc"
函數
-------------------------------------------------------------
過濾器的語言還有下面幾個函數:
upper(string-field)-把字符串轉換成大寫
lower(string-field)-把字符串轉換成小寫
upper((和lower((在處理大小寫敏感的字符串比較時很有用。例如:
upper(ncp.nds_stream_name) contains "MACRO"
lower(mount.dump.hostname) =="angel"
協議字段類型
---------------------------------------------------------------
每個協議的字段都有規定的類型。這些類型是:
unsigned integer 無符號整數(8比特、16比特、24比特、32比特)
signed integer 有符號整數(8比特、16比特、24比特、32比特)
Boolean 布爾值
Ethernet address 以太網地址(6字節)
Byte array 字節數組
IPv4 address IPv4地址
IPv6 address IPv6地址
IPX network number IPX網絡地址
Text string 文本串
Double-precision floating point number 雙精度浮點值
一個整數可以有三種表示方法,十進制、八進制和十六進制。下面三個例子是相同的:
frame.pkt_len>10
frame.pkt_len>012
frame.pkt_len>0xa
布爾值不是true就是false.在測試一個布爾類型字段的顯示過濾器中,"true"的值相當於1或者其它的非0值,"false"就是0。
例如:令牌環數據包中一個源路由字段是布爾型的.找到源路由的數據包,可以這樣寫顯示過濾器:
tr.sr==1
非源路由數據包可以使用這樣的過濾器:
tr.sr==0
以太網地址和字節數組使用十六進制表示.十六進制的數字可以被 ":" "." "-" 分隔。例如:
eth.dst eq ff:ff:ff:ff:ff:ff
aim.data == 0.1.0.d
fddi.src == aa-aa-aa-aa-aa-aa
echo.data == 7a
IPv4 地址可以被表示成點分十進制或者使用主機名表示。例如:
ip.dst eq www.mit.edu
ip.src == 192.168.1.1
IPv4地址之間可以和數字之間一樣,使用關系符號比較:eq,ne,gt,ge,lt和le。IPv4地址按照主機順序存儲,這樣當你在使用顯示 過濾器的時候就不用擔心IPv4地址的結束了。
當使用IPv4子網划分的時候,CIDR表示法也可以使用。例如:以下的過濾器可以找到所有129.111的數據包:
ip.addr==129.111.0.0/16
記住,斜線后面的數字用於表示子網占用的比特數。CIDR表示法也用於查找主機名,例如C類網絡中主機“sneezy”的IP地址。
ip.addr eq sneezy/24