A. wareshark 怎么用mac过滤
首先我们在wireshark抓到数据包的前提下,在Filter处讲解基于以太网数据头的MAC进行过滤的表达式写法。首先介绍命令:eth.addr eq e0:db:55:8e:8d:dd。查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包。
介绍过滤表达式:eth.src eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包。
介绍表达式:eth.dst eq e0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。
介绍表达式:eth.addr lt e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC以及目的MAC小于e0:db:55:8e:8d:dd的数据包。
备注:在表达式处写法支持:等于--写法为 eq 或者==;
小于--写法为 lt ;
大于--写法为 gt ;
小于或等于--写法为 le;
大于或者等于--写法为 ge;
不等 ---写法为 ne;
本篇实例采用了lt表示小于。
下面我们介绍居于数据包的长度进行过滤。首先介绍表达式:udp.length ==95,表示查询出来udp协议的数据包,且数据包长度为95的数据包。
备注:此处udp数据包长度+ip头部长度(20)+以太网头部(14)=整体数据包的长度。
介绍表达式:tcp.len >= 29,代表查询出来tcp协议的数据包,且包长度大于等于29的数据包。
备注:此处tcp数据包长度+tcp头部(20)+ip头部(20)+以太网头部(14)=整体数据包长度。
介绍表达式:ip.len eq 41。表示查询ip数据包,且包长度为41的数据包。
备注:此处ip数据包长度+以太网头(14)=整体数据包长度。
介绍表达式:frame.len eq 55。表示查询出来整体包长度为55的数据包。
整体介绍包长度表达式中间eq还可换成lt(小于),le(小于等于),gt(大于),ge(大于等于),ne(不等于)。