计算机网络知识全面讲解：wireshark复合过滤表达式

所谓复合过滤表达式，就是指由多条基本过滤表达式组合而成的
表达式。基本过滤表达式的写法不变，复合过滤表达式由连接词连接
基本过滤表达式构成。
我们依然直接参照官方给出的表，如表1-2所示。“Engl?sh”和“C-
l?ke”这两个字段还是说明这两种写法在W?reshark中是等价的，都是可
用的。 

1.3.4 常见的显示过滤需求及其对应表达式
下面列出各层协议表达式的例子。
（1）数据链路层表达式。
筛选目标MAC地址为04:?9:38:ad:13:26的数据包—— eth.dst ==
04:?9:38:ad:13:26。
筛选源MAC地址为04:?9:38:ad:13:26的数据包—— eth.src ==
04:?9:38:ad:13:26。
（2）网络层表达式。
筛选IP地址为192.168.1.1的数据包—— ?p.addr == 192.168.1.1。
筛选IP地址在192.168.1.1和192.168.1.2之间的数据包—— ?p.addr
== 192.168.1.1 && ?p.addr == 192.168.1.2。
筛选IP地址从192.168.1.1到192.168.1.2的数据包—— ?p.src ==
192.168.1.1 && ?p.dst == 192.168.1.2。
（3）传输层表达式。
筛选TCP的数据包—— tcp。
筛选除TCP以外的数据包—— !tcp。
筛选端口为80的数据包—— tcp.port == 80。
筛选源端口51933到目标端口80的数据包—— tcp.srcport == 51933
&& tcp.dstport == 80。
（4）应用层表达式。
筛选URL中包含.php的http数据包——http.request.ur? conta?ns
".php"。
筛选URL中包含www.epub?t.com域名的http数据包——
http.request.ur? conta?ns "www. epub?t.com"。
筛选内容包含username的http数据包——http conta?ns "username"。
筛选内容包含password的http数据包——http conta?ns "password"。