5.3.1.Capture filter

• 1.常用的指令

  • 1.過濾出特定protocol的封包

        Filter: tcp

  • 2.過濾出特定protocol及其相依protocol的封包

        Filter: portmap||mount

  • 3.IP + 特定port號

        Filter: ip.addr == <IP> && tcp.port == <Port>

  • 4.Follow TCP/UDP stream

  • 5.Apply as filter

    • 若想過濾出與特定封包類似的封包, 對封包按右鍵選擇"Apply as filter", 可以自動產生相對應的運算式及過濾出相對應的封包.

• 2.封包解析

  • ex 1. ip(來源或目的地)為192.168.1.5, 並監聽DNS port

  • 解析http封包

    • 1.Frame

    • 2.Ethernet

    • 3.IP protocol

    • 4.Transport protocol

    • 5.HTTP protocol