1489.下列Wireshark过滤表达式()可以捕获所有发往或来自IP地址192.168.1.100的HTTP流量。

该题考查Wireshark显示过滤器（Display Filter）的语法与HTTP流量捕获逻辑，需同时满足两个条件： （1）流量方向为发往或来自IP地址192.168.1.100； （2）流量属于HTTP协议（即基于TCP端口80或8080等的HTTP应用层流量，但题目未限定端口，常规默认HTTP明文流量使用TCP 80端口；且Wireshark中HTTP解析依赖于TCP载荷被正确识别为HTTP，而识别前提通常是目标/源端口为80或8080等标准HTTP端口）。 逐项分析选项： A: `http.host == 192.168.1.100` 错误。`http.host` 是HTTP请求头中的Host字段，其值为域名（如www.example.com），而非IP地址；且该字段仅存在于HTTP/1.1及以后的请求中，对HTTP响应、HTTP/1.0请求或非标准请求可能不存在；更重要的是，它不表示通信对端的IP地址，无法匹配“发往或来自该IP”的网络层条件。此外，当客户端直接通过IP访问（如http://192.168.1.100/）时，Host头通常仍为该IP字符串，但Wireshark对`http.host`的解析依赖于HTTP解析成功，而解析又依赖端口识别——若流量未被识别为HTTP（如端口非80），该字段根本不可用。因此该表达式语义错误、覆盖不全、可靠性低。 B: `ip.addr == 192.168.1.100 && tcp.port == 80` 正确。`ip.addr == X` 是Wireshark内置的便捷过滤语法，等价于 `(ip.src == X || ip.dst == X)`，可精确匹配所有源或目的IP为192.168.1.100的IP数据包；`tcp.port == 80` 筛选TCP端口为80的数据包（即HTTP明文流量的典型承载端口）；二者逻辑与（&&）确保同时满足：流量涉及该IP地址，且使用HTTP默认端口。虽然HTTP也可能运行在其他端口（如8080），但题干未说明非标端口，且选项中仅B合理体现“HTTP流量”的端口特征；其他选项均未包含端口约束，无法区分HTTP与其他协议（如FTP、SSH）在同一IP上的通信。因此B是唯一能准确、可靠捕获“发往或来自192.168.1.100的HTTP流量”的表达式。 C: `http.request.method == "GET" && ip.addr == 192.168.1.100` 错误。该式仅匹配HTTP GET请求，遗漏了POST、HEAD、PUT等其他HTTP方法，也完全排除了HTTP响应（如200 OK、404等），因此无法捕获“所有”HTTP流量（题干明确要求“所有发往或来自”的HTTP流量，包括请求与响应、各类方法）。覆盖范围严重不足。 D: `http.response.code == 200 && ip.dst == 192.168.1.100` 错误。首先，`ip.dst == 192.168.1.100` 仅匹配目的IP为该地址的数据包，遗漏了从该IP发出的流量（即`ip.src == 192.168.1.100`的情形）；其次，`http.response.code == 200` 仅匹配状态码为200的成功响应，遗漏了其他响应（如302、404、500）以及全部HTTP请求；再次，该表达式隐含要求Wireshark已成功解析出HTTP响应码，但若TCP流未被识别为HTTP（如端口非80），该字段不可用，导致漏捕。因此既不满足“双向”要求，也不满足“所有HTTP流量”要求。 核心知识点说明： 1. Wireshark显示过滤器中，`ip.addr` 是复合字段，用于匹配源或目的IPv4/IPv6地址，等效于 `(ip.src == X || ip.dst == X)`；而`ip.src`和`ip.dst`分别仅匹配源或目的地址。 2. HTTP协议本身工作在应用层，Wireshark需依据传输层信息（主要是TCP端口）触发HTTP协议解析器；默认情况下，端口80（及8080、8000等）的TCP流会被尝试解析为HTTP。因此，捕获HTTP流量最可靠的基础是结合IP地址与TCP端口条件。 3. 应用层字段（如`http.host`、`http.request.method`、`http.response.code`）属于解析后字段，其可用性依赖前置的协议识别成功，且仅适用于已被识别为HTTP的报文，不能替代网络层/传输层筛选逻辑。 综上，正确答案为B。