在 Wireshark 中如何筛选数据包
1. 显示过滤器(Display Filters)
显示过滤器用于 在已捕获的数据包中筛选,语法类似于编程语言中的条件表达式。
(1)基本过滤
| 表达式 | 说明 |
|---|---|
ip.addr == 192.168.1.1 | 显示所有涉及 192.168.1.1 的 IP 包 |
ip.src == 192.168.1.1 | 显示源 IP 是 192.168.1.1 的包 |
ip.dst == 192.168.1.1 | 显示目标 IP 是 192.168.1.1 的包 |
eth.addr == 00:11:22:33:44:55 | 按 MAC 地址过滤 |
tcp.port == 80 | 显示 TCP 端口 80(HTTP)的流量 |
udp.port == 53 | 显示 UDP 端口 53(DNS)的流量 |
(2)协议过滤
| 表达式 | 说明 |
|---|---|
http | 显示所有 HTTP 流量 |
dns | 显示所有 DNS 查询 |
tcp | 显示所有 TCP 流量 |
udp | 显示所有 UDP 流量 |
icmp | 显示所有 ICMP(Ping)流量 |
ssl 或 tls | 显示 SSL/TLS 加密流量 |
arp | 显示 ARP 请求/响应 |
bootp 或 dhcp | 显示 DHCP 流量 |
(3)高级过滤(基于内容)
| 表达式 | 说明 |
|---|---|
http.request.method == "GET" | 显示 HTTP GET 请求 |
http.request.method == "POST" | 显示 HTTP POST 请求 |
http contains "login" | 显示 HTTP 请求中包含 "login" 的包 |
tcp.payload contains "password" | 显示 TCP 载荷中包含 "password" 的包 |
dns.qry.name contains "google.com" | 显示查询 google.com 的 DNS 请求 |
smtp.req.command == "MAIL" | 显示 SMTP 邮件发送请求 |
(4)逻辑运算符(AND/OR/NOT)
| 表达式 | 说明 | ||
|---|---|---|---|
tcp.port == 80 && ip.src == 192.168.1.1 | 显示源 IP 192.168.1.1 且端口 80 的流量 | ||
| `http | dns` | 显示 HTTP 或 DNS 流量 | |
!arp | 排除所有 ARP 流量 | ||
tcp.flags.syn == 1 && tcp.flags.ack == 0 | 显示 TCP SYN 包(用于检测扫描) |
(5)特殊过滤(TCP 状态、错误)
| 表达式 | 说明 |
|---|---|
tcp.analysis.retransmission | 显示 TCP 重传包(网络问题) |
tcp.analysis.duplicate_ack | 显示重复 ACK |
tcp.flags.reset == 1 | 显示 TCP RST(连接重置)包 |
icmp.type == 3 | 显示 ICMP 目标不可达错误 |
2. 捕获过滤器(Capture Filters)
捕获过滤器用于 在抓包时就过滤掉不需要的数据(减少存储量),语法与显示过滤器不同。
(1)基本捕获过滤
| 表达式 | 说明 |
|---|---|
host 192.168.1.1 | 只抓取涉及 192.168.1.1 的流量 |
src host 192.168.1.1 | 只抓取源 IP 是 192.168.1.1 的流量 |
dst host 192.168.1.1 | 只抓取目标 IP 是 192.168.1.1 的流量 |
port 80 | 只抓取 TCP/UDP 端口 80 的流量 |
tcp port 443 | 只抓取 TCP 443(HTTPS)流量 |
udp port 53 | 只抓取 UDP 53(DNS)流量 |
(2)逻辑运算符
| 表达式 | 说明 |
|---|---|
host 192.168.1.1 and port 80 | 抓取 192.168.1.1 的 80 端口流量 |
not arp | 排除 ARP 流量 |
src net 192.168.1.0/24 | 抓取来自 192.168.1.0/24 的流量 |
3. 如何验证过滤语法?
在 Wireshark 的 Filter 输入框:
-
如果 语法正确,输入框背景是 绿色 ✅
-
如果 语法错误,输入框背景是 红色 ❌
可以点击 Expression... 按钮查看支持的协议和字段。