Wireshark显示过滤器常用关键字及过滤表达式

码村长2024-08-16 15:45

Wireshark显示过滤器常用关键字及过滤表达式

1. 过滤器类型

Wireshark抓包工具提供了两种类型过滤器:抓包过滤器 和 显示过滤器。

  • 抓包过滤器: 抓取满足过滤条件的数据包,不满足过滤条件的数据包不会被抓取。
  • 显示过滤器: 包已经被抓取到,显示只满足过滤条件的数据包,不满足过滤条件的数据包在后台。

①. 抓包过滤器

Wireshark 抓包工具在抓包过滤时,其过滤语法格式为 BPF 格式。

BPF (全称为Berkeley Packet Filter),翻译过来就是 "伯克利封包过滤器" (或者也称 "柏克莱封包过滤器" )。

抓包过滤器语法包含四个核心元素:类型、方向、协议 和 逻辑运算符。

  • 类型Type: 主机(host)、网段(net)、端口(port);
  • 方向Dir: 源地址(src)、目标地址(dst);
  • 协议Protocol: 各种网络协议,比如:tcpudphttp
  • 逻辑运算符: 与( && )、或( || )、非( !) ;

四个元素可以自由组合。

②. 显示过滤器

显示过滤器在抓包后或者抓包过程中使用。

显示过滤器的语法包含五个核心元素:IP、端口、协议、比较运算符和逻辑运算符。

  • IP地址: ip.addrip.srcip.dst
  • 端口: tcp.porttcp.srcporttcp.dstportudp.port
  • 协议: arpipicmptcpudphttpntpftpftp-datasnmpdnshdcpmodbusmysql;
  • 比较运算符: >< == >=<=!= ;
  • 逻辑运算符: andornotxor&&|| 等;

五个元素可以自由组合。

显示过滤器还可以使用 "frame\[\]""data\[\]" 定位帧指定位置内容。

  • frame\[\]: 全域中定位数据(匹配数据);
  • data\[\]: 数据域中定位数据(匹配数据);

2. 常用显示过滤器关键字及其表达式

1. IP地址过滤

目标地址过滤

shell 复制代码 
ip.dst == 10.46.21.11

源地址过滤

shell 复制代码 
ip.src == 10.56.1.31

2. 端口过滤

UDP端口过滤

shell 复制代码 
udp.port == 50001

UDP 目标端口过滤

shell 复制代码 
udp.dstport == 4000

UDP 源端口过滤

shell 复制代码 
udp.srcport == 50001

TCP端口过滤

shell 复制代码 
tcp.port == 2048

TCP 目标端口过滤

shell 复制代码 
tcp.dstport == 512

TCP 源端口过滤

shell 复制代码 
tcp.srcport == 501

3. 常用协议过滤

ICMP协议过滤

shell 复制代码 
icmp

UDP协议过滤

shell 复制代码 
udp

TCP 协议过滤

shell 复制代码 
tcp

MYSQL协议过滤

shell 复制代码 
mysql

HTTP 协议过滤

shell 复制代码 
http

4. Modbus协议过滤

Modbus协议过滤

shell 复制代码 
modbus.func_code==0x03

5. MySQL协议过滤

MySQL协议过滤

shell 复制代码 
mysql

6. IEC60870-104协议过滤

IEC60870-104协议过滤

shell 复制代码 
104apci     应用规约控制信息帧

104asdu     应用服务数据单元帧

7. 多条件组合过滤

多个条件组合过滤

比如,过滤应用层协议类型为TCP,目标端口为512,源地址为192.168.58.151 的数据帧,过滤表达式如下:

shell 复制代码 
tcp and tcp.dstport==512 and ip.src==192.168.58.151

8. frame\[\] 全域过滤

A. 单个字节匹配过滤

单个字节数据域匹配过滤

shell 复制代码 
frame[2] == 5e
B. 多个连续字节匹配过滤

多个连续字节数据域匹配过滤(比如 frame[0:6]: 表示从第0个索引位置开始,匹配连续6个字节 )

shell 复制代码 
frame[0:6] == ff:ff:ff:ff:ff:ff
C. 多个不连续字节匹配过滤

多个不连续字节数据域匹配过滤(比如 frame[0,7,8,11]: 表示匹配索引位置 0,7,8、11 共四个数据内容)

shell 复制代码 
frame[0,7,8,11] == ff:50:56:08

9. data\[\] 数据域过滤

A. 单个字节匹配过滤

单个字节数据域匹配过滤

shell 复制代码 
data[0] == 90
B. 多个连续字节匹配过滤

多个连续字节数据域匹配过滤(比如 data[0:4]: 表示从第0个索引位置开始,匹配连续四个字节 )

shell 复制代码 
data[0:4] == 90:eb:03:03
C. 多个不连续字节匹配过滤

多个不连续字节数据域匹配过滤(比如 data[0,1,6]: 表示匹配索引位置 0,1,6 共三个数据内容)

shell 复制代码 
data[0,1,6] == 90:eb:a7
相关推荐
段一凡-华北理工大学6 小时前
2026 高炉炼铁智能化技术全景与演进路径~系列文章11:演进路径与行业未来
大数据·网络·人工智能·算法·工业智能体·高炉炼铁智能化
leoFY1238 小时前
STM32H750配置LAN PHY芯片LAN8742
网络·stm32·嵌入式硬件
阿部多瑞 ABU9 小时前
AI红队攻防演化史(2023-2026):从虚拟角色到RLHF劫持——所有攻击方法全景总结与最新趋势分析
网络·人工智能·安全
博客-小覃9 小时前
Zabbix之华为交换机的日志记录信息操作详细教程
服务器·网络·华为·zabbix
stolentime9 小时前
FreeDomain 本地开发环境快速搭建指南
运维·服务器·网络
ytdbc10 小时前
OSPF综合实验
网络
kaisun6411 小时前
Docker 构建网络问题排查
网络·docker·eureka
雪度娃娃12 小时前
存储器层次结构——磁盘硬盘存储
服务器·网络·数据库·计算机组成原理
YUANQIANG202412 小时前
通信领域进行蒙特卡洛仿真的思路和步骤
网络
eam05112312 小时前
OSPF综合实验
网络
热门推荐
01GitHub 镜像站点02【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法03【AI】2026 年具身智能模型和世界模型总结04DeepSeek V4 + Claude Code thinking mode 400 错误修复方案05Codex 接入 DeepSeek API 完整配置文档06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08几个好用的ip纯净度检测网站09API Key 登录 Codex 也能用插件了,还支持会话删除和导出10CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)