wireshark过滤规则及使用方法

Wireshark 是一款强大的网络协议分析工具,它允许用户通过设置过滤规则来筛选感兴趣的数据包。以下是一些基本的 Wireshark 过滤规则及其使用方法:

基础过滤规则

  1. 按 IP 地址过滤

  • ip.src == x.x.x.x:过滤源 IP 地址为 x.x.x.x 的数据包。

  • ip.dst == x.x.x.x:过滤目的 IP 地址为 x.x.x.x 的数据包。

  • ip.addr == x.x.x.x:过滤源或目的 IP 地址为 x.x.x.x 的数据包。

  1. 按协议过滤

  • tcp:过滤 TCP 协议的数据包。

  • udp:过滤 UDP 协议的数据包。

  • icmp:过滤 ICMP 协议的数据包。

  1. 按端口过滤

  • tcp.port == xx:过滤 TCP 协议中源或目的端口为 xx 的数据包。

  • udp.port == xx:过滤 UDP 协议中源或目的端口为 xx 的数据包。

  • tcp.dstport == xx:只过滤 TCP 协议中目的端口为 xx 的数据包。

  • tcp.srcport == xx:只过滤 TCP 协议中源端口为 xx 的数据包。

高级过滤规则

  1. 使用逻辑运算符

  • and:两个条件都满足时,数据包才会被显示。

  • or:满足任一条件时,数据包会被显示。

  • not:对条件取反,不满足条件时,数据包会被显示。

  1. 比较运算符

  • ==:等于。

  • !=:不等于。

  • >:大于。

  • >=:大于等于。

  • <:小于。

  • <=:小于等于。

示例过滤规则

  • ip.src == 192.168.1.107:过滤源 IP 地址为 192.168.1.107 的数据包。

  • tcp.port == 80:过滤 TCP 协议中目标或源端口为 80 的数据包。

  • http.request.method == "GET":过滤 HTTP 请求方法为 GET 的数据包。

使用方法

  1. 打开 Wireshark,选择要捕获数据包的网卡。

  2. 开始捕获数据包。

  3. 在过滤器栏中输入过滤规则,例如 ip.src == 192.168.1.107

  4. 按回车键或点击应用按钮,Wireshark 将只显示符合过滤规则的数据包。

注意事项

  • 确保输入的过滤规则语法正确,否则会显示红色。

  • 正确的过滤规则可以使分析更加高效,忽略不相关的数据包。

  • 可以使用逻辑运算符组合多个过滤条件,以适应更复杂的分析需求。

希望这些信息能帮助您更好地使用 Wireshark 进行网络数据包分析

Top
×
×