網絡分析工具Wireshark使用教程(4)

　　可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

　　如果沒有特別指明是什么協議，則默認使用所有支持的協議。

　　可能的值: src, dst, src and dst, src or dst

　　如果沒有特別指明來源或目的地，則默認使用 "src or dst" 作為關鍵字。

　　例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。

　　可能的值： net, port, host, portrange.

　　如果沒有指定此值，則默認使用"host"關鍵字。

　　例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

　　可能的值：not, and, or.

　　否("not")具有最高的優先級?；?"or")和與("and")具有相同的優先級，運算時從左至右進行。

　　例如，

　　"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。

　　"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

　　例子：

　　顯示目的TCP端口為3128的封包。

　　顯示來源IP地址為10.1.1.1的封包。

　　顯示目的或來源IP地址為10.1.2.3的封包。

　　顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。

　　顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)

　　顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

　　顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16，目的地TCP端口號在200至10000之間，并且目的位于網絡10.0.0.0/8內的所有封包。

　　注意事項：

　　當使用關鍵字作為值時，需使用反斜杠"\"。

　　"ether proto \ip" (與關鍵字"ip"相同).

　　這樣寫將會以IP協議作為目標。

　　"ip proto \icmp" (與關鍵字"icmp"相同).

　　這樣寫將會以ping工具常用的icmp作為目標。

　　可以在"ip"或"ether"后面使用"multicast"及"broadcast"關鍵字。

原文轉自：http://www.kjueaiud.com