Wireshark显示过滤器常用关键字及过滤表达式

码村长2024-08-16 15:45

Wireshark显示过滤器常用关键字及过滤表达式

1. 过滤器类型

Wireshark抓包工具提供了两种类型过滤器:抓包过滤器 和 显示过滤器。

  • 抓包过滤器: 抓取满足过滤条件的数据包,不满足过滤条件的数据包不会被抓取。
  • 显示过滤器: 包已经被抓取到,显示只满足过滤条件的数据包,不满足过滤条件的数据包在后台。

①. 抓包过滤器

Wireshark 抓包工具在抓包过滤时,其过滤语法格式为 BPF 格式。

BPF (全称为Berkeley Packet Filter),翻译过来就是 "伯克利封包过滤器" (或者也称 "柏克莱封包过滤器" )。

抓包过滤器语法包含四个核心元素:类型、方向、协议 和 逻辑运算符。

  • 类型Type: 主机(host)、网段(net)、端口(port);
  • 方向Dir: 源地址(src)、目标地址(dst);
  • 协议Protocol: 各种网络协议,比如:tcpudphttp
  • 逻辑运算符: 与( && )、或( || )、非( !) ;

四个元素可以自由组合。

②. 显示过滤器

显示过滤器在抓包后或者抓包过程中使用。

显示过滤器的语法包含五个核心元素:IP、端口、协议、比较运算符和逻辑运算符。

  • IP地址: ip.addrip.srcip.dst
  • 端口: tcp.porttcp.srcporttcp.dstportudp.port
  • 协议: arpipicmptcpudphttpntpftpftp-datasnmpdnshdcpmodbusmysql;
  • 比较运算符: >< == >=<=!= ;
  • 逻辑运算符: andornotxor&&|| 等;

五个元素可以自由组合。

显示过滤器还可以使用 "frame\[\]""data\[\]" 定位帧指定位置内容。

  • frame\[\]: 全域中定位数据(匹配数据);
  • data\[\]: 数据域中定位数据(匹配数据);

2. 常用显示过滤器关键字及其表达式

1. IP地址过滤

目标地址过滤

shell 复制代码 
ip.dst == 10.46.21.11

源地址过滤

shell 复制代码 
ip.src == 10.56.1.31

2. 端口过滤

UDP端口过滤

shell 复制代码 
udp.port == 50001

UDP 目标端口过滤

shell 复制代码 
udp.dstport == 4000

UDP 源端口过滤

shell 复制代码 
udp.srcport == 50001

TCP端口过滤

shell 复制代码 
tcp.port == 2048

TCP 目标端口过滤

shell 复制代码 
tcp.dstport == 512

TCP 源端口过滤

shell 复制代码 
tcp.srcport == 501

3. 常用协议过滤

ICMP协议过滤

shell 复制代码 
icmp

UDP协议过滤

shell 复制代码 
udp

TCP 协议过滤

shell 复制代码 
tcp

MYSQL协议过滤

shell 复制代码 
mysql

HTTP 协议过滤

shell 复制代码 
http

4. Modbus协议过滤

Modbus协议过滤

shell 复制代码 
modbus.func_code==0x03

5. MySQL协议过滤

MySQL协议过滤

shell 复制代码 
mysql

6. IEC60870-104协议过滤

IEC60870-104协议过滤

shell 复制代码 
104apci     应用规约控制信息帧

104asdu     应用服务数据单元帧

7. 多条件组合过滤

多个条件组合过滤

比如,过滤应用层协议类型为TCP,目标端口为512,源地址为192.168.58.151 的数据帧,过滤表达式如下:

shell 复制代码 
tcp and tcp.dstport==512 and ip.src==192.168.58.151

8. frame\[\] 全域过滤

A. 单个字节匹配过滤

单个字节数据域匹配过滤

shell 复制代码 
frame[2] == 5e
B. 多个连续字节匹配过滤

多个连续字节数据域匹配过滤(比如 frame[0:6]: 表示从第0个索引位置开始,匹配连续6个字节 )

shell 复制代码 
frame[0:6] == ff:ff:ff:ff:ff:ff
C. 多个不连续字节匹配过滤

多个不连续字节数据域匹配过滤(比如 frame[0,7,8,11]: 表示匹配索引位置 0,7,8、11 共四个数据内容)

shell 复制代码 
frame[0,7,8,11] == ff:50:56:08

9. data\[\] 数据域过滤

A. 单个字节匹配过滤

单个字节数据域匹配过滤

shell 复制代码 
data[0] == 90
B. 多个连续字节匹配过滤

多个连续字节数据域匹配过滤(比如 data[0:4]: 表示从第0个索引位置开始,匹配连续四个字节 )

shell 复制代码 
data[0:4] == 90:eb:03:03
C. 多个不连续字节匹配过滤

多个不连续字节数据域匹配过滤(比如 data[0,1,6]: 表示匹配索引位置 0,1,6 共三个数据内容)

shell 复制代码 
data[0,1,6] == 90:eb:a7
相关推荐
网络研究院4 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智4 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest4 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_4 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_961845154 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
程序猿阿伟4 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白4 天前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G4 天前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森4 天前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
程序员小远4 天前
自动化测试基础知识总结
自动化测试·软件测试·python·selenium·测试工具·职场和发展·测试用例
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06AI科技热点日报 | 2026年6月1日07AI一周事件 · 2026-06-03 至 2026-06-0908Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析09上线仅72小时被强制下架:Claude Fable 5 的短命102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?