Wireshark의 배열에 없는 항목을 필터링하는 방법은 무엇입니까?

Question

귀하의 질문을 우연히 발견했을 때 동일한 답변을 찾고 있었지만 귀하의 업데이트는 실제로 귀하가 원래 요청한 작업을 수행하지 않습니다. 다음 포트 사이에 트래픽이 있다고 가정합니다.

Src    Dst
   80  10000
10000    443
10000  10000
   80   8080

성명서

tcp.port not in {80 443 8080}

동등하다

not tcp.srcport in {80 443 8080} or not tcp.dstport in {80 443 8080}

그러면 소스 또는 대상 포트가 그룹에 속하지 않은 모든 트래픽이 표시됩니다.

Src    Dst
   80  10000  <== displayed
10000    443  <== displayed
10000  10000  <== displayed
   80   8080  <== filtered

반면에

not tcp.port in {80 443 8080}

동일한

not(tcp.srcport in {80 443 8080} or tcp.dstport in {80 443 8080})

아니면 확장했을 때

not tcp.srcport in {80 443 8080} and not tcp.dstport in {80 443 8080}

소스 또는 대상 포트가 그룹에 있는 트래픽은 표시되지 않습니다.

Src    Dst
   80  10000  <== filtered
10000    443  <== filtered
10000  10000  <== displayed
   80   8080  <== filtered

Answer 1

귀하의 질문을 우연히 발견했을 때 동일한 답변을 찾고 있었지만 귀하의 업데이트는 실제로 귀하가 원래 요청한 작업을 수행하지 않습니다. 다음 포트 사이에 트래픽이 있다고 가정합니다.

Src    Dst
   80  10000
10000    443
10000  10000
   80   8080

성명서

tcp.port not in {80 443 8080}

동등하다

not tcp.srcport in {80 443 8080} or not tcp.dstport in {80 443 8080}

그러면 소스 또는 대상 포트가 그룹에 속하지 않은 모든 트래픽이 표시됩니다.

Src    Dst
   80  10000  <== displayed
10000    443  <== displayed
10000  10000  <== displayed
   80   8080  <== filtered

반면에

not tcp.port in {80 443 8080}

동일한

not(tcp.srcport in {80 443 8080} or tcp.dstport in {80 443 8080})

아니면 확장했을 때

not tcp.srcport in {80 443 8080} and not tcp.dstport in {80 443 8080}

소스 또는 대상 포트가 그룹에 있는 트래픽은 표시되지 않습니다.

Src    Dst
   80  10000  <== filtered
10000    443  <== filtered
10000  10000  <== displayed
   80   8080  <== filtered

관련 정보