wireshark过滤规则编写-基于MAC以及数据包长度

1、首先我们在wireshark抓到数据包的前提下，在Filter处讲解基于以太网数据头的MAC进行过滤的表达式写法。首先介绍命令：eth.addr eq e0:db:55:8e:8d:dd。查询出来以太网头数据内源MAC以及目的MAC为e0:db:55:8e:8d:dd的数据包。

3、介绍表达式:eth.dst eqe0:db:55:8e:8d:dd,表示查询出来以太网头数据内目的MAC为e0:db:55:8e:8d:dd的数据包。

5、下面我们介绍居于数据包的长度进行过滤。首先介绍表达式:udp.length ==95,表示查询出来udp协议的数据包，且数据包长度为95的数据包。备注：此处udp数据包长度+ip头部长度（20）+以太网头部（14）=整体数据包的长度。

7、介绍表达式:ip.len eq 41。表示查询ip数据包，且包长度为41的数据包。备注:此处ip数据包长度+以太网头(14)=整体数据包长度。

9、整体介绍包长度表达式中间eq还可换成lt(小于)，le（小于等于）,gt(大于),ge（大于等于），ne(不等于)。