Если нужно быстро найти нужный трафик в большом дампе — эти фильтры экономят кучу времени. Сохраняй себе и используй прямо в работе!
🧩 IP-фильтрация
⚫️ip.addr == 10.0.0.0/24 - весь трафик внутри подсети.
⚫️ip.addr == 10.0.0.1 - весь трафик к/от конкретного хоста.
⚫️!(ip.addr == 10.0.0.1) - исключить трафик определённого хоста.
📡 Протоколы и типы пакетов
⚫️icmp.type == 3 - ICMP “destination unreachable”.
⚫️tcp or udp - показать только TCP/UDP.
⚫️http or dns - весь HTTP или DNS трафик.
🔌 TCP-фильтры
⚫️tcp.port == 80 - трафик по порту 80.
⚫️tcp.srcport < 1000 - исходящие порты <1000.
⚫️tcp.flags.syn == 1 - пакеты с SYN.
⚫️tcp.flags == 0x012 - SYN+ACK.
⚫️tcp.analysis.retransmission - ретрансмиссии.
🌐 HTTP-фильтры
⚫️http.request.method == "GET" - HTTP GET.
⚫️http.response.code == 404 - ответы 404.
⚫️http.host == "www.abc.com" - фильтр по Host.
🔐 TLS
⚫️tls.handshake — только рукопожатие TLS.
⚫️tls.handshake.type == 1 - Client Hello.
🔎 DNS
⚫️dns.resp.name == cnn.com - ответы