ip端口对的Wireshark过滤(显示过滤器)

Question

我想知道如何在wireshark中创建ip端口的显示过滤器。

举个例子，我想过滤ip-port 10.0.0.1: 80，这样它就可以找到往返于10.0.0.1:80的所有通信，但不会找到从10.0.0.1:235到端口80上的某个ip的通信。

Answer 1

我要过滤出支持端口的任何协议的ip端口对。tcp或udp。该ip-por对可以联系任何端口上任何其他ip。

(ip.src == XXX.XXX.XXX.XXX && (tcp.srcport == YYY || udp.srcport == YYY)) || (ip.dst == XXX.XXX.XXX.XXX && (tcp.dstport == YYY || udp.dstport == YYY)将匹配：

• 所有来自IPv4地址XXX.XXX和TCP或UDP端口YYY的数据包；
• 所有去往IPv4地址XXX.XXX和TCP或UDP端口YYY的数据包；

听起来这就是你想要的。(如果这不是你想要的，你必须更具体、更精确地说明你想要什么。)

Answer 2

IP协议并没有定义端口之类的东西。IP之上的两个协议具有端口TCP和UDP。

如果只想显示从一端的端口80发送到另一端的端口80的TCP连接的数据包，则可以使用此显示过滤器：

tcp.srcport==80 && tcp.dstport==80

同样，您也可以为UDP通信定义筛选器。您可以使用其他条件来缩小过滤器的范围，例如

ip.srcaddr==1.2.3.4

或

ip.addr==55.66.77.88

您甚至可以使用C风格的操作符&&和||以及圆括号来构建复杂的过滤器。

(ip.addr==128.100.1.1 && tcp.port==80) || (ip.addr==10.1.2.1 && udp.port==68)

你真正想要过滤的是你的决定。

Answer 3

尝试此过滤器：

(ip.src==10.0.0.1 and tcp.srcport==80) or (ip.dst==10.0.0.1 and tcp.dstport==80)

由于在tcp/ip数据包中有两个端口和两个ip，因此需要准确地指定所需的源套接字和目标套接字。