Wireshark提供了强大的过滤功能,允许用户根据各种标准筛选和缩小捕获的数据包范围。以下是一些常用的Wireshark过滤器:
-
协议过滤器:
-
tcp:仅显示TCP协议的数据包。 -
udp:仅显示UDP协议的数据包。 -
icmp:仅显示ICMP协议的数据包。 -
http:仅显示HTTP协议的数据包。 -
dns:仅显示DNS协议的数据包。
-
-
IP地址和端口过滤器:
-
ip.addr == 192.168.1.1:显示源或目的IP地址为192.168.1.1的数据包。 -
ip.src == 192.168.1.1:仅显示源IP地址为192.168.1.1的数据包。 -
ip.dst == 192.168.1.1:仅显示目的IP地址为192.168.1.1的数据包。 -
tcp.port == 80:显示TCP端口为80的数据包。 -
udp.port == 53:显示UDP端口为53的数据包。
-
-
逻辑运算符:
-
and:逻辑与,例如ip.addr == 192.168.1.1 and tcp.port == 80。 -
or:逻辑或,例如tcp.port == 80 or tcp.port == 443。 -
not:逻辑非,例如not dns。
-
-
表达式过滤器:
-
frame.len >= 100:显示长度大于或等于100字节的数据包。 -
tcp.flags.syn == 1:仅显示设置了SYN标志的TCP数据包。
-
-
字符串匹配过滤器:
-
http.request.uri contains "login":显示HTTP请求URI中包含"login"的数据包。 -
dns.qry.name == "example.com":显示DNS查询中请求的域名是"example.com"的数据包。
-
-
其他过滤器:
-
vlan:仅显示带有VLAN标记的数据包。 -
wlan:仅显示无线局域网(WLAN)相关的数据包。 -
arp:仅显示ARP协议的数据包。
使用这些过滤器时,您可以在Wireshark的过滤器栏中输入它们,然后按Enter键应用。有效的过滤器会减少显示的数据包数量,使您能够专注于分析特定类型的网络流量。记得,过滤器的语法必须正确,否则Wireshark将不会应用它。
-