Wireshark filter语法

过滤器语法 
-------------------------------------------------------------

最简单的过滤允许你检查一个协议或者字段的存在。如果你想查看所有的使用IP协议的数据包，过滤器为“ip”（不带引号）。想看所有包含Token-ring RIF字段的数据包，使用“tr.rif”。
可以使用“exist”操作符来看一个协议或者字段是否存在。
注意：所有的协议和字段的名字可以在过滤器的参考中获得。

比较操作符
-------------------------------------------------------------

字段可以与值进行比较。比较操作符可以使用类似英语的简写，也可以使用c语言的字符。
eq，==              等于
ne,!=                 不等于
gt,>                    比...大
lt,<                     比...小
ge,>=                大于等于
le,<=                  小于等于

搜索比较操作符 
--------------------------------------------------------------
另外还有一些操作符只能使用类英语简写,不能使用类c语言简写。
contains 判断一个协议，字段或者分片包含一个值
matches             判断一个协议或者字符串匹配一个给定的Perl表达式

“contains”操作符允许一个过滤器搜索一串字符，其形式为字符串，或者字节，或者字节组。例如在搜索一个HTTP URL地址，可以使用下面的过滤器：
http contains “http://www.wireshark.org”； 
“contains”操作符不能被用于原子型的字段，比如数字和ip地址。

“matches ”操作符允许一个过滤器使用与Perl兼容的正则表达式（PCRE）。“matches” 操作符只能应用于协议或者字符串类型的协议字段。例如：搜索一个给定的wAP WSP User-Agent，你可以这样写过滤器：
wsp.user_agent matches "(?i)cldc"

函数
-------------------------------------------------------------
过滤器的语言还有下面几个函数：
upper(string－field)－把字符串转换成大写
lower(string－field)－把字符串转换成小写

upper((和lower((在处理大小写敏感的字符串比较时很有用。例如：
upper(ncp.nds_stream_name) contains "MACRO"
lower(mount.dump.hostname) =="angel"

协议字段类型 
---------------------------------------------------------------
每个协议的字段都有规定的类型。这些类型是：
unsigned integer               无符号整数（8比特、16比特、24比特、32比特）
signed integer                   有符号整数（8比特、16比特、24比特、32比特）
Boolean                             布尔值
Ethernet address               以太网地址（6字节）
Byte array                          字节数组
IPv4 address                      IPv4地址
IPv6 address                      IPv6地址
IPX network number           IPX网络地址
Text string                          文本串
Double-precision floating point number          双精度浮点值

一个整数可以有三种表示方法，十进制、八进制和十六进制。下面三个例子是相同的：

frame.pkt_len>10
frame.pkt_len>012
frame.pkt_len>0xa

布尔值不是true就是false.在测试一个布尔类型字段的显示过滤器中,"true"的值相当于1或者其它的非0值,"false"就是0。
例如:令牌环数据包中一个源路由字段是布尔型的.找到源路由的数据包,可以这样写显示过滤器:
tr.sr==1

非源路由数据包可以使用这样的过滤器:
tr.sr==0

以太网地址和字节数组使用十六进制表示.十六进制的数字可以被       "："         "."         "-"       分隔。例如：

         eth.dst        eq        ff:ff:ff:ff:ff:ff
         aim.data == 0.1.0.d
         fddi.src == aa-aa-aa-aa-aa-aa
         echo.data == 7a

IPv4 地址可以被表示成点分十进制或者使用主机名表示。例如：

         ip.dst eq www.mit.edu 
         ip.src == 192.168.1.1

IPv4地址之间可以和数字之间一样，使用关系符号比较：eq，ne，gt，ge，lt和le。IPv4地址按照主机顺序存储，这样当你在使用显示 过滤器的时候就不用担心IPv4地址的结束了。

当使用IPv4子网划分的时候，CIDR表示法也可以使用。例如：以下的过滤器可以找到所有129.111的数据包：
ip.addr＝＝129.111.0.0/16

记住，斜线后面的数字用于表示子网占用的比特数。CIDR表示法也用于查找主机名，例如C类网络中主机“sneezy”的IP地址。
ip.addr eq sneezy/24