Wireshark常用过滤器筛选方法

已于 2025-04-10 15:44:56 修改
阅读量883 收藏 5
点赞数 24
分类专栏: 网工工具 文章标签: wireshark 测试工具 网络
于 2025-04-02 13:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2403_89476409/article/details/146942127
版权

显示过滤器:在抓包操作完成后,用于筛选已捕获的数据包(在主界面输入框中输入)。

一、IP地址过滤

任意IP地址

ip.addr==192.168.1.122 

筛选源IP地址或目的IP地址为指定地址的数据包。

源IP地址

ip.src==192.168.1.114

仅筛选源IP地址为指定地址的数据包。

目的IP地址

ip.dst==192.168.1.114

仅筛选目的IP地址为指定地址的数据包。

二、MAC地址过滤

任意MAC地址

eth.addr==20:dc:e6:f3:78:cc

用于筛选源MAC地址或目的MAC地址为指定地址的数据包。

源MAC地址

eth.src==20:dc:e6:f3:78:cc

仅筛选源MAC地址为指定地址的数据包。

目的MAC地址

eth.dst==20:dc:e6:f3:78:cc

仅筛选目的MAC地址为指定地址的数据包。

三、端口过滤

TCP端口

tcp.port==80

用于筛选源端口或目的端口为80的TCP数据包。

tcp.srcport==80

仅筛选源端口为80的TCP数据包。

tcp.dstport==80

仅筛选目的端口为80的TCP数据包。

UDP端口

udp.port==4010

用于筛选源端口或目的端口为4010的UDP数据包。

udp.srcport==4010

仅筛选源端口为4010的UDP数据包。

udp.dstport==4010

仅筛选目的端口为4010的UDP数据包。

四、协议过滤

直接输入协议名称即可筛选对应协议的数据包,示例如下:

http

用于筛选HTTP协议的数据包。

tcp

udp

icmp

用于筛选TCP、UDP、ICMP协议的数据包。

五、HTTP方法过滤

GET请求

http.request.method==GET

用于筛选HTTP GET方法的数据包(请注意,GET需大写)。

POST请求

http.request.method==POST

用于筛选HTTP POST方法的数据包(请注意,POST需大写)。

六、逻辑组合筛选

逻辑与(AND)

ip.src==192.168.1.114&&ip.dst==180.114.144.101

用于筛选同时满足源IP地址和目的IP地址条件的数据包。

逻辑或(OR)

ip.src==192.168.1.114||ip.src==182.254.110.91

用于筛选满足任一源IP地址条件的数据包。

逻辑非(NOT)

!ip.addr==192.168.1.114

用于排除指定IP地址的数据包。

七、按照数据包内容过滤(contains)

按Http内容过滤包含 GET 请求的数据包

http contains "GET" 

按TCP内容过滤包含HTTP内容的数据包

tcp contains "http"

八、按照数据包长度过滤

frame.len <= 1000(可根据需求直接变换比较符号)

九、其他高级用法

Payload内容过滤:例如,使用rtp.p_type == 111可筛选特定Payload类型的数据包。

时间排序:可通过Frame.time字段按时间对数据包进行排序分析。

TCP标志位分析:可通过tcp.flags字段(如tcp.flags.syn == 1)追踪连接状态。

注意事项

大小写敏感:协议名称(如http)需使用小写,HTTP方法(如GET)需使用大写。

逻辑运算符 and(&&) or(||) not(!)

比较运算符==  !=  >  >=  <  <=

捕获过滤器:在抓包操作开始前进行设置,可减少冗余数据的捕获。

语法

<Protocol> <Direction> <Host> <Value> <Logical Operation> <other expression>

一、按IP/主机过滤

host 192.168.1.1

抓取与192.168.1.1相关的所有流量

src host 10.0.0.1

源IP为10.0.0.1

dst net 192.168.0.0/24

目标网络为192.168.0.0/24

二、按端口/协议过滤

port 80

(抓取TCP/UDP端口80的流量)

tcp port 443

(仅抓取HTTPS流量)

icmp

(仅抓取ICMP协议包)

三、组合逻辑

src host 10.0.0.1 and tcp port 443(来源IP为10.0.0.1且目标端口为443的TCP流量)

not arp(排除ARP协议流量)

逻辑运算符 and(&&) or(||) not(!)

Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3278
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
WireShark过滤器
m0_49476241的博客
09-08 1803
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
wireshark过滤包规则
qq_40298645的博客
06-21 6414
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains”过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
wireshark过滤源IP和目的IP,Wireshark 抓包过滤命令大全!
logic1001的博客
02-05 2779
Wireshark 是一款,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。目录:抓包过滤基础显示过滤器常用的显示过滤器过滤 HTTP 流量过滤 DNS 流量过滤 TCP 流量过滤 UDP 流量。
wireshark常用过滤命令
教Linux的李老师
06-24 8686
wireshark常用过滤命令
Wireshark 中如何筛选数据包
最新发布
qq_40898302的博客
04-08 855
语法与显示过滤器不同。,语法类似于编程语言中的条件表达式。可以点击 Expression...在 Wireshark 的。按钮查看支持的协议和字段。
二.wireshark过滤[如何过滤信息]
热门推荐
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
wireshark常用筛选命令
victorwjw的博客
01-12 4749
wireshark常用筛选命令
Wireshark筛选常用命令
qq_31433709的博客
04-18 2951
Wireshark筛选常用命令 前言 仔细想想,从知道wireshark这个名词到现在已经不知道过了多少年了,但是一直都没怎么用过,一直用的是charles和postman进行的抓包,以为这两个已经很好了,而且,第一眼见到wireshark的感觉简直糟透了,点击筛选右侧的按钮,弹出的一对筛选条件是什么都不知道。 最近稍微把玩了一下,竟然感觉很不错= =! 参考 wireshark筛选常用命令 ...
Wireshark显示过滤器的使用指南
u011186532的专栏
12-26 2155
显示过滤器Wireshark 的一项核心功能,用于过滤筛选捕获到的流量。与捕获过滤器不同,显示过滤器作用于已经捕获的数据包,帮助用户在界面上隐藏不相关的数据包,仅显示满足特定条件的数据包。Wireshark 显示过滤器是分析捕获流量的关键工具,灵活的语法和强大的筛选功能能够帮助用户高效定位问题。显示过滤器的语法规则非常灵活,支持精确匹配协议、字段、值等。
WireShark常用过滤器语法
fang.lovest.yang的博客
12-30 1622
可以wireshark打开后查看用户手册查看使用方法 ip筛选 ip筛选常用ip目的地址筛选(dst)和ip源地址筛选(src) ip==xxx.xxx.xxx.xxx用于筛选源地址和目的地址都是该ip的包 协议筛选筛选比如tcp、udp、http等相关协议的包,输入一个协议名字就可以筛选了,上图为udp的相关协议包 端口和方法 端口 tcp.srcport 源端口;tcp.dstport 目的端口 tcp.port==80是不是就是源端口和目的端口都得是...
wireshark常用过滤器
蛐蛐的博客
05-09 631
用一个写一个 过滤指定TCP端口: tcp.port==8887 过滤websocket协议 websocket 过滤指定端口websocket协议 (websocket && tcp.port==8887) 端口是在传输层指定,与应用层协议为组合关系,且此端口会同时过滤源端口与目标端口 过滤指定端口http协议 (http && tcp.port==8887) ...
Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 3646
万字长文,你能找到的最好Wireshark过滤器教程
wireshark抓包工具-ip port筛选命令
weixin_67622659的博客
06-13 3292
ip.addr==192.168.0.211 //筛选所有 包括目标IP、源IPip.src==192.168.0.211 //源IPip.dst==192.168.0.211 //目标IP。
计算机网络知识全面讲解:wireshark协议筛选和表达式筛选
weixin_70374410的博客
07-17 1868
议有UDP、TCP、ARP、ICMP、SMTP、POP、DNS、IP、Telnet、没有使用协议规定的名称,而是使用简写(例如,Dest?reshark中写为dstport),又加了一些协议中没有的字段(例如,推广到其他协议,如ETH、IP、HTTP、Telnet、FTP、ICMP、TCP只有源端口和目标端口字段,为了简便,使用W?tcp.port字段来同时代表源端口和目标端口),但总的思路没有变。以端口为例,端口出现在TCP中,那么有端口这个过。过滤值就是设定的过滤项应该满足过滤关系的标准,如500、..
wireshark协议大致过滤规则
weixin_43326436的博客
05-14 557
ip.addr == 192.168.1.10,显示源ip地址或目标ip地址为192.168.1.10的报文列表。如果要以报文的数据位作为筛选条件,可以在数据详情区选择Data,然后右击——>作为过滤器——>选中即可。ip.src ==192.168.1.10,显示主机ip地址为192.168.1.10发送的报文列表。ip.dst==192.168.1.10,显示主机ip地址为192.168.1.10的接收的报文列表。直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
wireshark过滤协议大全
Brave_heart4pzj的博客
10-01 3139
https://blog.csdn.net/scanf_linux/article/details/100995055 https://www.cnblogs.com/mafeng/p/10291614.html
WireShark过滤器总结
Mr.Buffoon
10-07 2539
WireShark 提供两种过滤器,分别是捕获过滤器和显示过滤器。捕获过滤器是进行包捕获时进行过滤,只捕获过滤规则之内的数据包。而显示过滤器是在捕获数据包之后,只显示过滤规则之内的数据包。 捕获过滤器: 捕获过滤器应用于Winpcap,使用Berkeley Packet Filter(BPF)语法。使用BPF创建的过滤器称为表达式,通常一个表达式由一个或多个原语以及零个及以上操作符组成
wireshark分析常见的网络协议
qq_61963012的博客
08-14 2899
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输层协议。在这层上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。
wireshark过滤器表达式筛选ip 端口 和协议
05-10
Wireshark作为一款强大的网络抓包分析工具,可以对网络数据包进行详细的分析和解析。当我们需要对抓包到的大量数据包进行筛选和分析时,就需要用到Wireshark过滤器表达式来进行筛选Wireshark过滤器表达式可以对数据包进行复杂的筛选处理,从而得到所需的数据包。其中,筛选IP、端口和协议是比较常见的操作。 在Wireshark中,IP地址是唯一的网络标识符,在筛选时经常作为关键字来使用。通过运用“ip.addr”或“ip.src”和“ip.dst”,我们可以轻松地筛选源IP和目的IP地址。这种方式特别适用于需要监视某个特定网络设备的流量,或是需要针对某个具体的IP地址进行分析时。 Wireshark还提供了一种以端口为基础的过滤方法,该方法包括以下部分: - “tcp.port”和“udp.port”表示TCP和UDP端口。 - “port”可以过滤使用TCP或UDP协议的任何端口。 - “tcp/udp.port”可以同时过滤TCP和UDP端口。 通过这种方式,我们可以对网络数据的端口进行筛选,从而达到对网络流量进行过滤的目的。 除了IP地址和端口号之外,协议也是非常关键的一个过滤条件,常用的协议包括HTTP、FTP、SMTP和POP等常见的应用层协议,以及TCP、UDP等传输层协议。运用Wireshark的“proto”命令可以轻松地过滤特定协议的网络数据包。 总的来说,使用Wireshark过滤器表达式可以对网络数据包进行准确的筛选,并得到所需的数据包,从而加快网络问题排查的速度。熟练掌握wireshark过滤器表达式将提高网络管理人员的工作效率和网络问题排查的准确度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值