一、地址过滤
- 对源地址及目的地址过滤
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
- 对源地址或者目的地址过滤
ip.addr == 192.168.0.1
- 排除某个地址数据包过滤
!(ip.addr == 192.168.0.1)
二、端口过滤
- 对源端口及目的端口过滤
tcp.srcport == 80
tcp.dstport == 80
- 对源地址或者目的端口过滤
tcp.port == 80
- 大于某个端口的过滤
tcp.port >= 60000
三、协议过滤
- 协议过滤
直接在filter框中输入协议名,如过滤HTTP协议,则http
四、http协议相关过滤
- 过滤出请求地址中包含“user”的请求
http.request.uri contains User
- 过滤域名
http.host == www.baidu.com
- 模糊过滤域名
http.host contains baidu
- 过滤请求的content_type类型
http.content_type == 'text/html'
- 过滤http请求方法
http.request.method == GET
- 过滤http响应状态码
http.response.code == 200
- 过滤含有指定cookie的http数据包
http.cookie contains userid
五、长度和内容的过滤
- 针对数据段长度过滤
udp.length < 20
http.content_length <= 30
六、错误报文过滤
此错误是wireshark根据计算为了分析展示的错误,实际报文不会有此信息
- 过滤出显示 TCP Previous segment not captured 报文
tcp.analysis.lost_segment
原因:前一个分片丢失,有可能是网络中确实丢失了,或者晚到了,也有可能是wireshark本身并没有抓到。
- 过滤出显示TCP Dup ACK 报文
tcp.analysis.duplicate_ack
原因:当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。
- 过滤出显示 TCP Out-Of-Order 报文
tcp.analysis.out_of_order
原因:一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元
- 过滤出 TCP ZeroWindows 的报文
tcp.window_size == 0
原因:当发送端发包速率大于接收端的接收速率时,会造成接收端TCP window越来越小,当接收端在反馈ack时携带的window size=0时,wireshark标记TCP Zero window。此时发送端将暂停发送数据,直到收到接收端window size!=0的标志。
- 过滤出 TCP Window Full 的报文
tcp.analysis.window_full
原因:是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送,等待新的接收窗口的通告。