Wireshark显示过滤器大全:快速定位网络流量中的关键数据包

Eileen Seligman2024-08-10 6:04

文章目录

  • 一、简介
  • 二、wireshark中的逻辑运算符
  • 三、过滤示例集合
    • [3.1 过滤指定日期和时间](#3.1 过滤指定日期和时间)
    • [3.2 过滤指定协议](#3.2 过滤指定协议)
      • [3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:](#3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:)
      • [3.2.2 例如:Windows 客户端 - DC 交换](#3.2.2 例如:Windows 客户端 - DC 交换)
    • [3.3 过滤指定网段(不包含Internet网络)](#3.3 过滤指定网段(不包含Internet网络))
      • [3.3.1 过滤指定网段的内容](#3.3.1 过滤指定网段的内容)
      • [3.3.2 过滤排除指定网段的内容](#3.3.2 过滤排除指定网段的内容)
    • [3.4 切片运算符使用示例](#3.4 切片运算符使用示例)
      • [3.4.1 匹配UDP协议的有效负载](#3.4.1 匹配UDP协议的有效负载)
      • [3.4.1 匹配MAC address供应商地址](#3.4.1 匹配MAC address供应商地址)
    • [3.5 过滤指定TCP端口](#3.5 过滤指定TCP端口)
    • [3.6 HTTP协议的过滤方法](#3.6 HTTP协议的过滤方法)
      • [3.6.1 过滤指定主机](#3.6.1 过滤指定主机)
      • [3.6.2 过滤响应状态码](#3.6.2 过滤响应状态码)
      • [3.6.3 过滤指定请求方法](#3.6.3 过滤指定请求方法)
      • [3.6.4 other](#3.6.4 other)
  • 四、结语

一、简介

在Wireshark中,我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的,因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量,从而更高效地进行分析。接下来,我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

二、wireshark中的逻辑运算符

英文 别名 符号
eq any_eq ==
ne all_ne !=
all_eq ===
any_ne !==
gt >
lt <
ge >=
le <=
contains
matches ~

三、过滤示例集合

3.1 过滤指定日期和时间

复制代码 
frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

3.2 过滤指定协议

3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:

复制代码 
tcp.port eq 25 or icmp

3.2.2 例如:Windows 客户端 - DC 交换

复制代码 
 smb || nbns || dcerpc || nbss || dns

3.3 过滤指定网段(不包含Internet网络)

3.3.1 过滤指定网段的内容

复制代码 
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

3.3.2 过滤排除指定网段的内容

复制代码 
! (ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16)

3.4 切片运算符使用示例

3.4.1 匹配UDP协议的有效负载

跳过UDP8个字节标头,匹配从8个字节开始3个字节

复制代码 
udp[8:3]==81:60:03

3.4.1 匹配MAC address供应商地址

复制代码 
eth.addr[0:3]==00:06:5B

切片运算符还可以使用包含运算符代替,不过包含运算符是匹配出现在字段或协议中任何位置的字符,无法达到上面的切片运算符的精确度

复制代码 
  udp contains 81:60:03

3.5 过滤指定TCP端口

复制代码 
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

3.6 HTTP协议的过滤方法

3.6.1 过滤指定主机

复制代码 
http.host == magentonotes.com

3.6.2 过滤响应状态码

复制代码 
http.response.code == 302

3.6.3 过滤指定请求方法

复制代码 
http.request.method == POST

3.6.4 other

还有一些HTTP头部过滤比如像http.server和HTTP主体过滤等等方式我在这里就不过多赘述了,感兴趣的读者们可以去网络上查阅

四、结语

这些方法并不涵盖全部,我只是列举了我经常使用的过滤器。想要进一步学习的读者可以查阅官方文档,或在评论区一起交流讨论。希望这些示例能帮助你更有效地使用Wireshark进行流量分析。

在撰写过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
cici1587410 小时前
C#实现三菱PLC通信
java·网络·c#
专业开发者11 小时前
经 Nordic 实测:蓝牙长距离传输
网络·物联网
zfj32112 小时前
top 命令中的 wa (IO wait) 指标,理论上几乎完全是由磁盘IO(包括swap)引起的,而不是网络IO
linux·网络·top·iowait
Xの哲學12 小时前
Linux网卡注册流程深度解析: 从硬件探测到网络栈
linux·服务器·网络·算法·边缘计算
Violet_YSWY13 小时前
桥接网络、net、仅宿主机三者区别
网络
携欢13 小时前
POrtSwigger靶场之Exploiting XXE using external entities to retrieve files通关秘籍
网络·安全·github
xian_wwq13 小时前
【学习笔记】OSI安全架构体系
网络·笔记·学习
heartbeat..14 小时前
Servlet 全面解析(JavaWeb 核心)
java·网络·后端·servlet
创客匠人老蒋14 小时前
创客匠人“陪跑计划”:0前置费用助力知识IP从0到1突破
网络·创始人ip·创客匠人
晚枫歌F14 小时前
TCP协议详解
网络·网络协议·tcp/ip
热门推荐
01GitHub 镜像站点02Linux下V2Ray安装配置指南03jdk21下载、安装(Windows、Linux、macOS)04Claude Code Skills 实用使用手册05从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击06UV安装并设置国内源072025 最新教程:注册并切换到美区 Apple ID08【踩坑笔记】50系显卡适配的 PyTorch 安装09电脑检测软件—图吧工具箱10祝大家 2026 年新年快乐,代码无 bug,需求一次过