wireshark常用过滤规则

Posted 2023-05-31 代码诠释的世界

Wireshark是一款流行的网络协议分析工具，使用它可以捕获网络数据包，并对其进行分析。在Wireshark中，过滤规则是非常重要的，通过过滤规则可以快速定位和过滤关注的数据包

一、基础过滤规则

1、按IP地址过滤

ip.addr == x.x.x.x # 过滤指定IP地址的数据包
ip.src == x.x.x.x # 过滤源IP地址为指定IP地址的数据包
ip.dst == x.x.x.x # 过滤目的IP地址为指定IP地址的数据包

2、按协议过滤

tcp # 过滤TCP协议的数据包
udp # 过滤UDP协议的数据包
icmp # 过滤ICMP协议的数据包

3、按端口过滤

tcp.port == xx # 过滤指定TCP端口的数据包
udp.port == xx # 过滤指定UDP端口的数据包

4、按关键字过滤

http # 过滤HTTP协议的数据包
dns # 过滤DNS协议的数据包

 

二、高级过滤规则

1、比较运算符

tcp.len > xx # 过滤TCP数据长度大于xx的数据包
ip.len < xx # 过滤IP数据长度小于xx的数据包
frame.time_relative > xx # 过滤相对时间大于xx秒的数据包

2、逻辑运算符

ip.src == x.x.x.x && tcp.port == xx # 过滤源IP地址为x.x.x.x且TCP端口为xx的数据包
ip.src == x.x.x.x || ip.dst == x.x.x.x # 过滤源IP地址为x.x.x.x或目的IP地址为x.x.x.x的数据包
!(tcp.port == xx) # 过滤除TCP端口为xx之外的数据包

3、正则表达式

http.request.uri matches "xxx" # 过滤HTTP请求URI中包含xxx的数据包
dns.qry.name matches "xxx" # 过滤DNS查询域名中包含xxx的数据包

 

以上就是Wireshark的详细过滤规则介绍，如果您想更深入地了解Wireshark的过滤规则，可以查看Wireshark的官方文档。

 

参考链接：

(83条消息) wireshark最常用过滤规则_wireshark按时间过滤_程序猿Ricky的日常干货的博客-CSDN博客

wireshark-003-常用显示过滤规则

• 根据协议过滤

1. 举例：过滤http协议
   
2. 举例：过滤TCP协议的数据
   
3. 举例：过滤icmp协议
   
4. 举例：过滤UDP协议
   

• 根据端口号过滤

1.举例：过滤tcp端口号为80的数据包（包含目标地址和源地址）

• 根据IP地址过滤

1. 过滤IP地址为36.152.44.96的数据包（源地址和目标地址）
   
2. 过滤源地址为36.152.44.96的数据包
   
   3.过滤目标地址为36.152.44.96的数据包
   

• 组合过滤

1. 过滤地址为36.152.44.96并且端口为443的数据包（www.baidu.com使用https协议进行数据传输，而HTTPS的默认端口为443）
   

2. 过滤源地址为36.152.44.96并且端口为80的数据包（www.baidu.com使用 https协议，所以没有使用80【http协议】端口进行数据传输）
   

持续更新中...