A. wareshark 怎麼用mac過濾
首先我們在wireshark抓到數據包的前提下,在Filter處講解基於乙太網數據頭的MAC進行過濾的表達式寫法。首先介紹命令:eth.addr eq e0:db:55:8e:8d:dd。查詢出來乙太網頭數據內源MAC以及目的MAC為e0:db:55:8e:8d:dd的數據包。
介紹過濾表達式:eth.src eq e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內源MAC為e0:db:55:8e:8d:dd的數據包。
介紹表達式:eth.dst eq e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內目的MAC為e0:db:55:8e:8d:dd的數據包。
介紹表達式:eth.addr lt e0:db:55:8e:8d:dd,表示查詢出來乙太網頭數據內源MAC以及目的MAC小於e0:db:55:8e:8d:dd的數據包。
備註:在表達式處寫法支持:等於--寫法為 eq 或者==;
小於--寫法為 lt ;
大於--寫法為 gt ;
小於或等於--寫法為 le;
大於或者等於--寫法為 ge;
不等 ---寫法為 ne;
本篇實例採用了lt表示小於。
下面我們介紹居於數據包的長度進行過濾。首先介紹表達式:udp.length ==95,表示查詢出來udp協議的數據包,且數據包長度為95的數據包。
備註:此處udp數據包長度+ip頭部長度(20)+乙太網頭部(14)=整體數據包的長度。
介紹表達式:tcp.len >= 29,代表查詢出來tcp協議的數據包,且包長度大於等於29的數據包。
備註:此處tcp數據包長度+tcp頭部(20)+ip頭部(20)+乙太網頭部(14)=整體數據包長度。
介紹表達式:ip.len eq 41。表示查詢ip數據包,且包長度為41的數據包。
備注:此處ip數據包長度+乙太網頭(14)=整體數據包長度。
介紹表達式:frame.len eq 55。表示查詢出來整體包長度為55的數據包。
整體介紹包長度表達式中間eq還可換成lt(小於),le(小於等於),gt(大於),ge(大於等於),ne(不等於)。