Wireshark显示过滤器大全:快速定位网络流量中的关键数据包

Eileen Seligman2024-08-10 6:04

文章目录

  • 一、简介
  • 二、wireshark中的逻辑运算符
  • 三、过滤示例集合
    • [3.1 过滤指定日期和时间](#3.1 过滤指定日期和时间)
    • [3.2 过滤指定协议](#3.2 过滤指定协议)
      • [3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:](#3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:)
      • [3.2.2 例如:Windows 客户端 - DC 交换](#3.2.2 例如:Windows 客户端 - DC 交换)
    • [3.3 过滤指定网段(不包含Internet网络)](#3.3 过滤指定网段(不包含Internet网络))
      • [3.3.1 过滤指定网段的内容](#3.3.1 过滤指定网段的内容)
      • [3.3.2 过滤排除指定网段的内容](#3.3.2 过滤排除指定网段的内容)
    • [3.4 切片运算符使用示例](#3.4 切片运算符使用示例)
      • [3.4.1 匹配UDP协议的有效负载](#3.4.1 匹配UDP协议的有效负载)
      • [3.4.1 匹配MAC address供应商地址](#3.4.1 匹配MAC address供应商地址)
    • [3.5 过滤指定TCP端口](#3.5 过滤指定TCP端口)
    • [3.6 HTTP协议的过滤方法](#3.6 HTTP协议的过滤方法)
      • [3.6.1 过滤指定主机](#3.6.1 过滤指定主机)
      • [3.6.2 过滤响应状态码](#3.6.2 过滤响应状态码)
      • [3.6.3 过滤指定请求方法](#3.6.3 过滤指定请求方法)
      • [3.6.4 other](#3.6.4 other)
  • 四、结语

一、简介

在Wireshark中,我们可能会捕获到上百万甚至更多的流量数据包。手动分析这些数据包几乎是不可能的,因此我们使用显示过滤器来精准定位关键数据包。显示过滤器能够帮助我们快速筛选出感兴趣的流量,从而更高效地进行分析。接下来,我将通过一些常用示例来演示Wireshark中显示过滤器的强大之处。

二、wireshark中的逻辑运算符

英文 别名 符号
eq any_eq ==
ne all_ne !=
all_eq ===
any_ne !==
gt >
lt <
ge >=
le <=
contains
matches ~

三、过滤示例集合

3.1 过滤指定日期和时间

复制代码 
frame.time == "Sep 26, 2004 23:18:04.954975"

ntp.xmt ge "2020-07-04 12:34:56"

3.2 过滤指定协议

3.2.1 例:仅显示SMTP(端口 25)和ICMP流量:

复制代码 
tcp.port eq 25 or icmp

3.2.2 例如:Windows 客户端 - DC 交换

复制代码 
 smb || nbns || dcerpc || nbss || dns

3.3 过滤指定网段(不包含Internet网络)

3.3.1 过滤指定网段的内容

复制代码 
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

3.3.2 过滤排除指定网段的内容

复制代码 
! (ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16)

3.4 切片运算符使用示例

3.4.1 匹配UDP协议的有效负载

跳过UDP8个字节标头,匹配从8个字节开始3个字节

复制代码 
udp[8:3]==81:60:03

3.4.1 匹配MAC address供应商地址

复制代码 
eth.addr[0:3]==00:06:5B

切片运算符还可以使用包含运算符代替,不过包含运算符是匹配出现在字段或协议中任何位置的字符,无法达到上面的切片运算符的精确度

复制代码 
  udp contains 81:60:03

3.5 过滤指定TCP端口

复制代码 
tcp.port == 80 || tcp.port == 443 || tcp.port == 8080

3.6 HTTP协议的过滤方法

3.6.1 过滤指定主机

复制代码 
http.host == magentonotes.com

3.6.2 过滤响应状态码

复制代码 
http.response.code == 302

3.6.3 过滤指定请求方法

复制代码 
http.request.method == POST

3.6.4 other

还有一些HTTP头部过滤比如像http.server和HTTP主体过滤等等方式我在这里就不过多赘述了,感兴趣的读者们可以去网络上查阅

四、结语

这些方法并不涵盖全部,我只是列举了我经常使用的过滤器。想要进一步学习的读者可以查阅官方文档,或在评论区一起交流讨论。希望这些示例能帮助你更有效地使用Wireshark进行流量分析。

在撰写过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
dldw7778 小时前
IE无法正常登录windows2000server的FTP服务器
运维·服务器·网络
运维有小邓@9 小时前
什么是重放攻击?如何避免成为受害者?
运维·网络·安全
光路科技9 小时前
工业数字化三大核心概念拆解:IIoT、工业互联网与工业4.0
网络
汤愈韬9 小时前
下一代防火墙通用原理
运维·服务器·网络·security
有代理ip11 小时前
网络隐私防护指南:代理服务与换 IP 工具的科学结合
网络·tcp/ip·web安全
不是书本的小明12 小时前
阿里云专有云网络架构
网络·阿里云·架构
mounter62512 小时前
【内核前沿】从 veth 到 netkit:深度解析 TCP devmem 穿透容器屏障的“队列租赁”黑科技
网络·ebpf·linux kernel·devmem tcp·netkit·队列租赁
Smoothcloud润云12 小时前
从“预测下一个词”到“预测下一个世界状态”:世界模型作为AGI新范式的深度分析报告
人工智能·测试工具·微服务·容器·github·状态模式·agi
爱学习的小囧13 小时前
vSphere Supervisor 服务配置指南:自签名容器注册表使用教程
服务器·网络·esxi·虚拟化·vcf
pjwonline113 小时前
反向仲裁:去中心化知识网络中的社会性共识引擎
网络·人工智能·去中心化·区块链·智能合约
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05GPT-6核心能力解析及与现有主流大模型对比06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09从限购到畅通:GLM-5.1 Coding Plan接入攻略10LLM Wiki:让大模型替你打理知识库的完整指南