wireshark过滤规则

源是192.168.1.99 目标地址是192.168.1.96 目标端口号是80 ，怎么写过滤规则？

ip.src==192.168.1.99 && ip.dst==192.168.1.96 && (tcp,port==80 || udp.port==80) 大致这样，如果你需要是哪个傻瓜式的分析软件，可以试试QPA，他是基于进程抓包的，并且筛选功能很傻瓜，直接输入关键字即可

协议HTTP就是用tcp.srcport==80来过滤，用下面这个条件就可以了 ip.src==192.168.192.1 && ip.dst==192.168.192.128 && tcp.srcport==80

应该是没有根据时间来过滤的规则。你在filter里面输入的time其实是time protocol（时间协议），百度百科里有“time protocol”这个词条。 因为wireshark的包默认就是根据时间来排序的。你在view菜单里选择time display format，然后选择时间格式为seconds since beginning of capture。用默认的排序，只要time栏的数值小于15的都是你要的包。

1. 过滤源ip、目的ip。在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1。 2. 端口过滤。如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包。 3. 协议过滤比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议。 4. http模式过滤。如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"。 5. 连接符and的使用。过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。