内容纲要
(http)&&(ip.addr == 192.168.0.11)

IP 地址及域名过滤

ip.host == 192.168.1.1
ip.src ==host or dns.qry.name contains “Domain”

Filter expression:

ip.addr==104.17.41.137 or dns.qry.name contains “www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”

本机地址 192.168.1.104

查看出站包

ip.src == 192.168.1.104

查看入站包

ip.dst == 192.168.1.104

查看端口

ip.dst == 192.168.1.104 or tcp.port == 443

IP

ip.src == 192.168.0.1
ip.dst == 8.8.8.8

TCP

端口

tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.port == 80 and ip.src == 192.168.0.1

TCP SYN

tcp.flags.syn == 1

TCP ACK

tcp.flags.ack == 1

TCP RESET

tcp.flags.reset == 1

TCP FIN

tcp.flags.fin == 1

显示 TCP 头部中窗口大小小于 200 的数据包

tcp.window_size_value < 200

SSL

ssl.handshake.type == 1        # Client Hello
ssl.handshake.type == 2        # Server Hello

HTTP

HTTP host

http.host == hogehoge.com

ICMP

ICMP 流量

icmp

ICMP 目标不可达,主机不可达

icmp[0:2] == 0x0301

广播流量

broadcast

DNS

分析 DNS 服务器地址为 8.8.8.8 的来往数据包

ip.addr == 8.8.8.8
udp.port == 53

TCP

客户端 [SYN]

服务器端 [SYN, ACK]

客户端端 [ACK]

开始通信

客户端端 [IPA]             "Hello server!"
服务器端 [ACK]

服务器端 [IPA]             "Welcome client!"
客户端端 [ACK]

客户端 [RST, ACK]

发表评论

电子邮件地址不会被公开。 必填项已用*标注