wireshark过滤规则编写-基于MAC以及数据包长度

1、首先我们在wireshark抓到数据包的前提下，在Filter处讲解基于以太网数据头的MAC进行过滤的表达式写法。首先介绍命令：eth.addr eq e0:db:55:8e:8d:dd。查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包。

2、介绍过滤表达式:eth.src eqe0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC为e0:db:55:8e:8d:dd的数据包。

3、介绍表达式:eth.dst eqe0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。

4、介绍表达式:eth.ad蟠校盯昂dr lt e0:db:55:8e:8d:dd,表示查询出来以太网头数据内源MAC以及目的MAC小于e0:db:55:8e:8d:dd的数据包。备注：在表达式处写法支持:等于--写法为 eq 或者==；小于--写法为 lt ；大于--写法为 gt ;小于或等于--写法为 le；大于或者等于--写法为 ge；不等 ---写法为 ne；本篇实例采用了lt表示小于。

5、下面我们介绍居于数据包的长度进行过滤。首先介绍表达式:udp.length ==95,表示查询出来udp协议的数据包，且数据包长度为95的数据包。备注：此处udp数据包长度+ip头部长度（20）+以太网头部（14）=整体数据包的长度。

6、介绍表达式:tcp.len >= 29，代表查询出来tcp协议的数据包，且包长度大于等于29的数据包。备注：此处tcp数据包长度+tcp头部（20）+ip头部(20)+以太网头部（14）=整体数据包长度。

7、介绍表达式:ip.len eq 41。表示查询ip数据包，且包长度为41的数据包。备注:此处ip数据包长度+以太网头(14)=整体数据包长度。

8、介绍表达式:frame.len eq 55。表示查询出来整体包长度为55的数据包。

9、整体介绍包长度表达式中间eq还可换成lt(小于)，le（小于等于）,gt(大于),ge（大于等于），ne(不等于)。