最近在诊断一些ICMP/DHCP问题,使用wireshark的display filter可以直接使用icmp6 or dhcpv6,但是如果是capture filter就不支持dhcpv6这样的语法了。
查询官网文档后发现,wireshark的display filter和capture filter还不一样,前者是wireshark自己解析的高级语法,后者是pcap语法,和tcpdump一样,只支持一些基础过滤。
ICMP/ICMPv6的过滤pcap直接支持,DHCP/DHCPv6使用固定的udp端口,所以可以通过端口过滤实现。
DHCP:56、57
DHCPv6:546、547
比如想过滤DHCPv6和ICMPv6的数据包,则过滤语法为icmp6 or (udp port 546 or 547 )