wireshark 命令

wireshark 常见的命令

ip.addr eq 192.168.50.1  // 源或目的IP
ip.src eq 192.168.50.1   // 源IP
ip.dst eq 192.168.50.1   // 目的IP

tcp port 21 // 端口过滤


tcp.flags.reset eq 1     // TCP 的 RST 报文
tcp.seq eq 1 and tcp.ack eq 1   // TCP 的 seq 和 ack 都是1 的报文 (or 表示或，not 表示取反)
frame.time >= "may 02, 2023 18:30:00" and frame.time <= "may 02, 2023 18:35:00" // 过滤时间

在wireshark中，如何从一个报文，找到它所在整个TCP流的所有其他报文？

该报文，右键 -> Follow -> TCP Stream

如果想对服务端和客户端进行对照抓包，最好采用TCP序列号进行对应（必须使用Raw Sequence number），然后过滤：
tcp.seq_raw eq 4252547432