Wireshark显示过滤器大全:快速定位网络流量中的关键数据包

Eileen Seligman2024-08-10 6:04

文章目录

  • 一、简介
  • 二、wireshark中的逻辑运算符
  • 三、过滤示例集合
    • [3.1 过滤指定日期和时间](#3.1 过滤指定日期和时间)
    • [3.2 过滤指定协议](#3.2 过滤指定协议)
      • [3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:](#3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:)
      • [3.2.2 例如:Windows 客户端 - DC 交换](#3.2.2 例如:Windows 客户端 - DC 交换)
    • [3.3 过滤指定网段(不包含Internet网络)](#3.3 过滤指定网段(不包含Internet网络))
      • [3.3.1 过滤指定网段的内容](#3.3.1 过滤指定网段的内容)
      • [3.3.2 过滤排除指定网段的内容](#3.3.2 过滤排除指定网段的内容)
    • [3.4 切片运算符使用示例](#3.4 切片运算符使用示例)
      • [3.4.1 匹配UDP协议的有效负载](#3.4.1 匹配UDP协议的有效负载)
      • [3.4.1 匹配MAC address供应商地址](#3.4.1 匹配MAC address供应商地址)
    • [3.5 过滤指定TCP端口](#3.5 过滤指定TCP端口)
    • [3.6 HTTP协议的过滤方法](#3.6 HTTP协议的过滤方法)
      • [3.6.1 过滤指定主机](#3.6.1 过滤指定主机)
      • [3.6.2 过滤响应状态码](#3.6.2 过滤响应状态码)
      • [3.6.3 过滤指定请求方法](#3.6.3 过滤指定请求方法)
      • [3.6.4 other](#3.6.4 other)
  • 四、结语

一、简介

在Wireshark中,我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的,因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量,从而更高效地进行分析。接下来,我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

二、wireshark中的逻辑运算符

英文 别名 符号
eq any_eq ==
ne all_ne !=
all_eq ===
any_ne !==
gt >
lt <
ge >=
le <=
contains
matches ~

三、过滤示例集合

3.1 过滤指定日期和时间

复制代码 
frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

3.2 过滤指定协议

3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:

复制代码 
tcp.port eq 25 or icmp

3.2.2 例如:Windows 客户端 - DC 交换

复制代码 
 smb || nbns || dcerpc || nbss || dns

3.3 过滤指定网段(不包含Internet网络)

3.3.1 过滤指定网段的内容

复制代码 
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

3.3.2 过滤排除指定网段的内容

复制代码 
! (ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16)

3.4 切片运算符使用示例

3.4.1 匹配UDP协议的有效负载

跳过UDP8个字节标头,匹配从8个字节开始3个字节

复制代码 
udp[8:3]==81:60:03

3.4.1 匹配MAC address供应商地址

复制代码 
eth.addr[0:3]==00:06:5B

切片运算符还可以使用包含运算符代替,不过包含运算符是匹配出现在字段或协议中任何位置的字符,无法达到上面的切片运算符的精确度

复制代码 
  udp contains 81:60:03

3.5 过滤指定TCP端口

复制代码 
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

3.6 HTTP协议的过滤方法

3.6.1 过滤指定主机

复制代码 
http.host == magentonotes.com

3.6.2 过滤响应状态码

复制代码 
http.response.code == 302

3.6.3 过滤指定请求方法

复制代码 
http.request.method == POST

3.6.4 other

还有一些HTTP头部过滤比如像http.server和HTTP主体过滤等等方式我在这里就不过多赘述了,感兴趣的读者们可以去网络上查阅

四、结语

这些方法并不涵盖全部,我只是列举了我经常使用的过滤器。想要进一步学习的读者可以查阅官方文档,或在评论区一起交流讨论。希望这些示例能帮助你更有效地使用Wireshark进行流量分析。

在撰写过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
D-海漠3 小时前
Modbus_TCP_V4 客户端
网络
虚!!!看代码3 小时前
【Sentinel学习】
网络·sentinel
liulilittle4 小时前
VGW 虚拟网关用户手册 (PPP PRIVATE NETWORK 基础设施)
开发语言·网络·c++·网关·智能路由器·路由器·通信
网硕互联的小客服4 小时前
服务器如何配置防火墙规则以阻止恶意流量和DDoS攻击?
服务器·网络·ddos
Qiq9224 小时前
怎么分析内网ipv6和ipv4流量占比?
网络
数通Dinner4 小时前
P/A初始化协商
网络
网安小白的进阶之路4 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk4 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
网络小白不怕黑4 小时前
华为设备 QoS 流分类与流标记深度解析及实验脚本
网络·华为
热门推荐
012024年 最新 iPhone手机 历代机型、屏幕尺寸、纵横比、分辨率 整理02Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面03Coze扣子平台完整体验和实践(附国内和国际版对比)04Word粘贴时出现“运行时错误53,文件未找到:MathPage.WLL“的解决方案05手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法08华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南09DeepSeek各版本说明与优缺点分析10django中用 InforSuite RDS 替代memcache