Wireshark運算符!=沒法正常工做

Wireshark運算符!=沒法正常工做

在Wireshark中，運算符!=結合一些相似eth.addr、ip.addr、tcp.port和udp.port表達式使用時，一般不能正常工做。使用時，Wireshark將顯示警告信息「!=已被棄用或可能有意外結果，請參閱用戶指南」，而且過濾器背景色爲黃色。例如，顯示過濾除IP地址1.2.3.4外的全部主機數據包，寫爲 ip.addr != 1.2.3.4。

這時，過濾器 ip.addr != 1.2.3.4是不能正常工做。由於 ip.addr != 1.2.3.4表達數據包包含一個名爲ip.addr的字段，其值與1.2.3.4不一樣。因爲IP數據報同時包含源地址和目標地址，所以當兩個地址中至少有一個不一樣於1.2.3.4時，表達式的計算結果將爲true。

因此，若是想要過濾掉除IP地址1.2.3.4外的數據包，正確的過濾器應該爲 !(ip.addr==1.2.3.4)。