语法;
tcp.port in {80 443 8080}
对于过滤端口非常有效,但是;
tcp.port not in {80 443 8080}
似乎无效。
更新:
我怎么这么笨啊……
not tcp.port in {80 443 8080}
此语法有效,将接受任何知道如何使用充满端口号的文件作为数组(csv 或 txt)的人的答案。
答案1
当我偶然发现您的问题时,我一直在寻找相同的答案,但是您的更新并没有真正达到您最初要求的效果。假设我们在这些端口之间有流量:
Src Dst
80 10000
10000 443
10000 10000
80 8080
该声明
tcp.port not in {80 443 8080}
相当于
not tcp.srcport in {80 443 8080} or not tcp.dstport in {80 443 8080}
这将显示源或目标端口不在组中的所有流量。
Src Dst
80 10000 <== displayed
10000 443 <== displayed
10000 10000 <== displayed
80 8080 <== filtered
另一方面
not tcp.port in {80 443 8080}
等于
not(tcp.srcport in {80 443 8080} or tcp.dstport in {80 443 8080})
或者展开时
not tcp.srcport in {80 443 8080} and not tcp.dstport in {80 443 8080}
这不会显示源端口或目标端口位于组中的流量。
Src Dst
80 10000 <== filtered
10000 443 <== filtered
10000 10000 <== displayed
80 8080 <== filtered