我使用 wireshark 查看捕获的 pcap 文件。我看到特定端口上有很多我不感兴趣的通信,所以我想过滤它以仅查看其余通信。
我使用了以下过滤规则:tcp.dstport != 1337 and tcp.srcport != 1337
删除端口 1337 上的所有 tcp 通信。但似乎此规则也删除了所有非 TCP 流量。例如,不再显示 DNS 请求。如果我将过滤器更改为,(tcp.dstport != 1337 and tcp.srcport != 1337) or ! tcp
它会显示除端口 1337/tcp 之外的所有流量,但这似乎不是“正确”的做法。是否使用tcp.dstport
或tcp.srcport
等于仅过滤 tcp 流量,然后过滤端口?