wireshark 过滤规则

2024年4月17日发(作者：)

wireshark 过滤规则

Wireshark是一款网络协议分析工具，它能够捕获网络数据包，并将其解码成人类可

读的形式，以协助网络管理员和安全专家分析网络流量。Wireshark 的过滤规则是其最强

大的功能之一，通过过滤规则，用户可以过滤出特定协议、IP 地址、端口等信息，以便更

加精准地分析网络流量。

Wireshark 过滤规则的基本语法

Wireshark 的过滤规则是基于 BPF（Berkeley Packet Filter）语法的，BPF 是一种

基于指令的过滤机制，它能够快速地过滤掉不需要的数据包，从而减少网络流量的负载。

Wireshark 的过滤规则语法基本上与 BPF 语法相同，但是在一些细节上有所不同。下面

是 Wireshark 过滤规则的基本语法：

1. 过滤规则由过滤器和操作符组成，过滤器用于过滤出需要的数据包，操作符用于连

接过滤器。

2. 过滤器可以是协议、IP 地址、端口等信息，也可以是表达式，表达式可以是逻辑

表达式、算术表达式、比较表达式等。

3. 操作符包括逻辑操作符、比较操作符、算术操作符等，用于连接过滤器。

4. Wireshark 的过滤规则区分大小写。

5. Wireshark 的过滤规则支持通配符，例如： == 192.168.1.*。

- 1 -

6. Wireshark 的过滤规则可以使用括号，以改变优先级。

7. Wireshark 的过滤规则可以使用注释，注释以 # 开头。

Wireshark 过滤规则的实例

下面是一些 Wireshark 过滤规则的实例，这些规则可以帮助用户更好地理解

Wireshark 的过滤规则语法：

1. 过滤出所有的 HTTP 流量

http

2. 过滤出所有来自 192.168.1.100 的数据包

== 192.168.1.100

3. 过滤出所有去往 192.168.1.100 的数据包

== 192.168.1.100

4. 过滤出所有来自 192.168.1.100 的 TCP 流量

== 192.168.1.100 and tcp

5. 过滤出所有 TCP 端口为 80 的数据包

- 2 -