WireShark_过滤语法

WireShark_过滤语法 过滤IP，如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport == 80 // 只显tcp协议的目标端口80 tcp.srcport == 80 // 只显tcp协议的来源端口80 Wireshark 是一款强大的网络封包分析软件，用于捕获、查看和分析网络通信数据。在分析大量数据时，过滤语法显得尤为重要，因为它可以帮助我们快速定位和筛选出我们需要的信息。以下是一些关于Wireshark过滤语法的关键知识点： 1. **过滤IP**： - `ip.src eq 192.168.1.107` 或 `ip.dst eq 192.168.1.107`：这两个表达式分别用来过滤来源IP和目标IP为指定IP地址的数据包。`ip.addr eq 192.168.1.107`则可以同时过滤来源和目标IP。 - 使用 `or` 运算符可以组合多个条件，例如 `ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107`。 2. **过滤端口**： - `tcp.port eq 80`：这将显示所有TCP协议且端口为80的数据包，无论它们是源端口还是目的端口。 - `tcp.port eq 2722` 和 `tcp.port eq 80 or udp.port eq 80`：这些表达式分别过滤特定TCP端口和同时过滤TCP及UDP端口80的数据包。 - `tcp.dstport == 80` 和 `tcp.srcport == 80`：这两个表达式分别只显示TCP协议的目标端口和源端口为80的数据包。 3. **过滤协议**： - `tcp`, `udp`, `arp`, `icmp`, `https`, `smtp`, `ftp`, `dns`, `msnms`, `sip`, `ssl`, `lo`, `icq`, `bootp` 等：这些是不同网络协议的名称，可以用来过滤特定协议的数据包。例如，`!arp` 或 `not arp` 会排除ARP协议的数据包。 4. **过滤MAC地址**： - `eth.dst == A0:00:00:04:C5:84` 和 `eth.src eq A0:00:00:04:C5:84`：这两个表达式分别过滤目标MAC和来源MAC为指定地址的数据包。 - `eth.addr eq A0:00:00:04:C5:84`：这个表达式会过滤MAC地址（不论来源或目标）为指定值的数据包。 - `less than`, `lt`, `小于等于`, `le`, `等于`, `eq`, `大于`, `gt`, `大于等于`, `ge`, `不等`, `ne`：这些是用于比较操作的运算符，可用于过滤MAC地址或其他数值字段。 5. **包长度过滤**： - `udp.length == 26`：这将过滤UDP数据包长度为26的包。 - `tcp.len >= 7`：过滤IP数据包（TCP下面的数据）长度至少为7的TCP包。 - `ip.len == 94`：过滤IP头部到数据结束的总长度为94的IP包。 - `frame.len == 119`：过滤从以太网头开始到最后整体长度为119的数据包。 6. **HTTP模式过滤**： - `http.request.method == "GET"` 和 `http.request.method == "POST"`：过滤HTTP请求方法为GET或POST的数据包。 - `http.request.uri == "/img/logo-edu.gif"`：过滤URL路径为特定值的数据包。 - `http contains "GET"` 和 `http contains "HTTP/1."`：包含特定字符串的HTTP包。 - `http.request.method == "GET" && http contains "Host: "` 和 `http.request.method == "POST" && http contains "User-Agent: "`：过滤HTTP请求方法并包含特定头信息的数据包。 7. **TCP参数过滤**： - `tcp.flags` 用于查看包含TCP标志的包，例如 `tcp.flags.syn == 0x02` 过滤SYN标志的TCP包。 - `tcp.window_size == 0 && tcp.flags.reset != 1`：过滤窗口大小为0但非RST标志的TCP包。 8. **内容过滤**： - `tcp[20]`, `tcp[20:]`, `tcp[20:8]`：这些表达式用于从TCP数据包的特定偏移量提取字节。 - `udp[8:3]==81:60:03` 和 `udp[8:1]==32`：检查UDP数据包中的特定字段是否匹配给定值。 通过熟练掌握Wireshark的过滤语法，你可以更高效地分析网络流量，定位问题，以及进行网络性能优化。记住，这些过滤器可以组合使用，创建复杂的逻辑表达式来满足你的特定需求。在实际应用中，可以根据具体场景灵活运用和组合这些过滤规则。