本篇我们基于第一篇教程，接着介绍wireshark过滤规则的写法，本篇详细介绍针对端口和协议的过滤表达的用法。工具/原料morewireshark软件windows系列电脑一台方法/步骤1/8分步阅读

首先我们在抓到包的情况下。在Filter处填写表达式:tcp.port eq 80。表示获得tcp协议且端口为80的数据包（包含来源端口以及目的端口）。

2/8

在Filter处填写表达式:tcp.port eq 80 or udp.port eq 514。表示获得tcp协议且端口为80，udp协议且端口为514的数据包。

3/8

在Filter处填写表达式:tcp.srcport eq 80。表示获得tcp协议且来源端口为80的数据包。相应的查看udp协议的表达式为:udp.srcport eq +端口号。

4/8

在Filter处填写表达式:tcp.dstport eq 80。表示获得tcp协议且目的端口为80的数据包。相应的查看udp协议的表达式类似为:udp.dstport eq +端口号。

5/8

同样在Filter处支持输入端口范围进行过滤。本篇命令为tcp.port 1 and tcp.port 80 。表示为：得到tcp协议的端口范围为大于1小于80的数据包。

6/8

Filter处支持输入协议来过滤。支持的协议包括:tcp、udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl、oicq、bootp等等。本篇我们在Filter处输入表达式:dns。表示查询协议为dns的数据包。

7/8

在Filter处输入表达式:dns or http。表示获取协议为dns或者http的数据包。

8/8

如果我们想查看除了某个协议以外的其他协议的数据包。则表达式为! +协议名称或者not +协议名称。本篇我们执行过滤表达式为:! tcp。表示得到非tcp协议的数据包。

注意事项

本篇简单介绍了过滤表达式处关于端口以及协议的用法，望大家灵活使用。

wireshark规则wiresharkFilter语法