[(1)、ip.src eq x.x.x.x](#(1)、ip.src eq x.x.x.x)
[(2)、ip.dst eq x.x.x.x](#(2)、ip.dst eq x.x.x.x)
[(3)ip.src eq x.x.x.x or ip.dst eq x.x.x.x](#(3)ip.src eq x.x.x.x or ip.dst eq x.x.x.x)
[(1)、ip.addr == x.x.x.x and icmp](#(1)、ip.addr == x.x.x.x and icmp)
一、针对IP抓取
1、过滤格式:
(1)、ip.src eq x.x.x.x
ip.src eq x.x.x.x:抓取固定源IP**(源IP就是发起数据访问的访问者)**是x.x.x.x的所有报文。
(2)、ip.dst eq x.x.x.x
ip.dst eq x.x.x.x:抓取固定目的IP**(目的IP就是数据访问的被访问者)**是x.x.x.x的所有报文。
(3)ip.src eq x.x.x.x or ip.dst eq x.x.x.x
ip.src eq x.x.x.x or ip.dst eq x.x.x.x:抓取固定源到目的。
二、针对端口过滤
1、过滤格式:
(1)、tcp.srcport==xx
tcp.srcport==8080:匹配源端口是TCP的8080端口
(2)、tcp.port==xx
tcp.port==80:匹配端口为80。
三、针对协议过滤
1、过滤格式:
(1)、ip.addr == x.x.x.x and icmp
ip.addr == x.x.x.x and icmp:过滤ip地址是x.x.x.x 并且协议是ICMP的报文。
四、针对DHCP过滤
先需要Win加R调出运行窗口,接着输入cmd命令,输入ipconfig /release进行释放IP,然后输入ipconfig /renew重新获取IP。
使用bootp过滤报文,Wireshark在处理DHCP时,使用的是BOOTP协议,所以在Packet Detail 面板中看到的是Bootstrap Protocol,而不是DHCP**(现在新版本可以直接dhcp过滤报文)**。
**1、发现阶段:**客户端以广播方式发送DHCP-DISCOVER报文。
**2、提供阶段:**服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。
**3、选择阶段:**客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
**4、确认阶段:**服务器收到客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器进行回复,如果确认将地址分配给该客户端,则返回DHCP-ACK报文;否则返回DHCP-NAK报文,表明地址不能分配给该客户端。