2024年4月17日发(作者:)

wireshark的过滤规则

Wireshark是一款流行的网络协议分析工具,可以用来捕获和

分析网络数据包。通过过滤规则,可以筛选出感兴趣的数据包,

以便更快地定位和分析问题。以下是一些常用的Wireshark过

滤规则:

1. IP地址过滤:

- :源IP地址

- :目标IP地址

- :指定IP地址为源或目标IP地址

- !:指定IP地址不是源或目标IP地址

2. 协议过滤:

- tcp:仅显示TCP数据包

- udp:仅显示UDP数据包

- http:仅显示HTTP数据包

- dns:仅显示DNS数据包

- icmp:仅显示ICMP数据包

- arp:仅显示ARP数据包

3. 端口过滤:

- :指定TCP端口号

- :指定UDP端口号

4. 数据包方向过滤:

- src:以指定IP地址作为源地址的数据包

- dst:以指定IP地址作为目标地址的数据包

- src or dst:以指定IP地址作为源或目标地址的数据包

5. 数据包长度过滤:

- :指定数据包长度

- > x:指定数据包长度大于x

6. 协议字段过滤:

- :仅显示具有SYN标志的TCP数据包

- :仅显示具有指定DNS查询名称的数据包

- :仅显示具有指定HTTP请求方法的数

据包

示例过滤规则:

- == 192.168.1.1 and == 80:筛选出源或目标IP

地址为192.168.1.1且目标端口是80的TCP数据包。

- == "GET":筛选出具有HTTP GET请求

方法的数据包。

- != 192.168.1.1:筛选出目标IP地址不是192.168.1.1的

数据包。

请注意,过滤规则大小写敏感。可以通过Wireshark的过滤栏

直接输入过滤规则,也可以在"Filter"菜单中通过图形界面设置

过滤规则。